มัลแวร์มือถือ Tanzeem

ทีม DoNot ซึ่งเป็นที่รู้จักในฐานะผู้ก่อภัยคุกคาม ได้เชื่อมโยงกับมัลแวร์ Android ตัวใหม่ที่ถูกระบุว่าเป็น Tanzeem และ Tanzeem Update ภัยคุกคามเหล่านี้ซึ่งถูกค้นพบในเดือนตุลาคมและธันวาคม 2024 เป็นส่วนหนึ่งของการโจมตีทางไซเบอร์แบบมีเป้าหมายชัดเจน แม้จะมีความแตกต่างเล็กน้อยในอินเทอร์เฟซผู้ใช้ แต่แอปทั้งสองก็มีฟังก์ชันการทำงานที่แทบจะเหมือนกัน

แอปพลิเคชันดังกล่าวซึ่งเรียกว่าแอปพลิเคชันแชทจะหยุดทำงานเมื่อติดตั้งแล้ว และจะปิดตัวลงหลังจากที่ผู้ใช้ให้สิทธิ์ที่จำเป็น การออกแบบของแอปพลิเคชันดังกล่าวชี้ให้เห็นถึงการเน้นไปที่บุคคลหรือกลุ่มเฉพาะ โดยอาจมุ่งเป้าไปที่ทั้งหน่วยงานในประเทศและต่างประเทศ

เปิดเผยที่มาและการดำเนินงานทางประวัติศาสตร์ของทีม DoNot

เชื่อกันว่า ทีม DoNot ซึ่งรู้จักกันในชื่อ APT-C-35, Origami Elephant, SECTOR02 และ Viceroy Tiger ปฏิบัติการจากอินเดีย กลุ่มนี้มีประวัติการใช้อีเมลฟิชชิ่งแบบเจาะจงและมัลแวร์ Android เพื่อรวบรวมข้อมูลข่าวกรองที่มีค่า ในเดือนตุลาคม 2023 กลุ่มนี้เชื่อมโยงกับ Firebird ซึ่งเป็นแบ็คดอร์ที่ใช้ .NET ที่กำหนดเป้าหมายเหยื่อในปากีสถานและอัฟกานิสถาน

แม้ว่าเป้าหมายที่แน่ชัดของมัลแวร์ Tanzeem ยังคงไม่ชัดเจน แต่กลุ่มนี้น่าสงสัยว่ามีจุดมุ่งหมายเพื่อรวบรวมข้อมูลข่าวกรองเกี่ยวกับภัยคุกคามภายในที่รับรู้ได้

การใช้ประโยชน์จากเทคโนโลยี: การละเมิดแพลตฟอร์มที่ถูกต้องตามกฎหมาย

กลยุทธ์ที่โดดเด่นที่สุดอย่างหนึ่งที่เกี่ยวข้องกับมัลแวร์ Tanzeem คือการใช้ OneSignal ซึ่งเป็นแพลตฟอร์มการมีส่วนร่วมของลูกค้าที่ถูกต้องตามกฎหมาย ถึงแม้ว่าโดยทั่วไปแล้วจะใช้แพลตฟอร์มนี้สำหรับการแจ้งเตือนแบบพุช ข้อความในแอป และเครื่องมือสื่อสารอื่นๆ แต่บรรดานักวิจัยเชื่อว่ามีการใช้แพลตฟอร์มนี้ในทางที่ผิดเพื่อส่งลิงก์ฟิชชิ่งที่ปล่อยมัลแวร์เพิ่มเติม

ฟีเจอร์ปลอมที่มีเจตนาเป็นอันตราย

เมื่อติดตั้งแล้ว แอปพลิเคชัน Tanzeem จะแสดงอินเทอร์เฟซแชทปลอม โดยกระตุ้นให้เหยื่อคลิกปุ่ม "เริ่มแชท" จากนั้นแอปพลิเคชันจะแจ้งให้ผู้ใช้ให้สิทธิ์แก่ Accessibility Services API ด้วยการอนุญาตเหล่านี้ แอปพลิเคชันจึงสามารถดำเนินการที่ไม่ปลอดภัยได้หลากหลาย

การได้รับการควบคุม: สิทธิ์การใช้งานที่ถูกใช้ประโยชน์

แอปพลิเคชัน Tanzeem ร้องขอการเข้าถึงสิทธิ์ที่ละเอียดอ่อนหลายประการ ซึ่งช่วยให้สามารถ:

• รวบรวมบันทึกการโทร รายชื่อติดต่อ และข้อความ SMS
• ติดตามตำแหน่งผู้ใช้ที่แม่นยำ
• เข้าถึงรายละเอียดบัญชีและไฟล์จัดเก็บข้อมูลภายนอก

การอนุญาตเหล่านี้ช่วยให้แอปพลิเคชันสามารถรวบรวมและส่งข้อมูลที่ละเอียดอ่อนซึ่งส่งผลกระทบต่อความเป็นส่วนตัวของผู้ใช้เป็นอย่างมาก

การรับประกันความคงอยู่: การแจ้งเตือนแบบพุชเป็นกลยุทธ์

คุณลักษณะที่โดดเด่นของมัลแวร์ Tanzeem คือการใช้การแจ้งเตือนแบบพุชเพื่อกระตุ้นให้มีการติดตั้งมัลแวร์ Android เพิ่มเติม วิธีนี้ไม่เพียงแต่ช่วยเพิ่มการคงอยู่ของมัลแวร์เท่านั้น แต่ยังเน้นย้ำถึงกลยุทธ์ที่พัฒนาขึ้นของทีม DoNot ในความพยายามที่จะรักษาการเข้าถึงและรวบรวมข้อมูลข่าวกรองเพื่อผลประโยชน์ของชาติอีกด้วย

มัลแวร์ Tanzeem แสดงให้เห็นถึงความเฉลียวฉลาดของทีม DoNot ในการใช้ประโยชน์จากแพลตฟอร์มและสิทธิ์ที่มีอยู่เพื่อดำเนินการต่างๆ ลักษณะการโจมตีแบบกำหนดเป้าหมายและกลวิธีขั้นสูงที่ใช้เตือนให้เราตระหนักถึงภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา การเฝ้าระวังและระมัดระวังเป็นสิ่งสำคัญในการรับมือกับความท้าทายดังกล่าว