Tanzeem Mobile Malware
Ang DoNot Team, isang kilalang threat actor, ay konektado sa bagong Android malware na kinilala bilang Tanzeem at Tanzeem Update. Ang mga banta na ito, na natuklasan noong Oktubre at Disyembre 2024, ay bahagi ng mataas na target na pag-atake sa cyber. Sa kabila ng kanilang bahagyang pagkakaiba-iba sa user interface, ang parehong mga app ay nagbabahagi ng halos magkaparehong mga pag-andar.
Sinisingil bilang mga chat application, ang mga application ay titigil sa paggana kapag na-install, na nagsasara pagkatapos ibigay ng user ang mga kinakailangang pahintulot. Ang kanilang disenyo ay nagpapahiwatig ng isang pagtutok sa mga partikular na indibidwal o grupo, na posibleng nagta-target sa parehong mga domestic at internasyonal na entity.
Talaan ng mga Nilalaman
Pag-unpack ng DoNot Team's Origins and Historical Operations
Kilala rin bilang APT-C-35, Origami Elephant, SECTOR02, at Viceroy Tiger, ang DoNot Team ay pinaniniwalaang tumatakbo mula sa India. Ang grupo ay may kasaysayan ng paggamit ng spear-phishing na mga email at Android malware upang mangolekta ng mahalagang katalinuhan. Noong Oktubre 2023, na-link ang grupo sa Firebird , isang .NET-based na backdoor na nagta-target ng mga biktima sa Pakistan at Afghanistan.
Habang ang eksaktong mga target ng Tanzeem malware ay nananatiling hindi malinaw, ang grupo ay pinaghihinalaang naglalayong mangolekta ng katalinuhan sa mga pinaghihinalaang panloob na banta.
Pagsasamantala sa Teknolohiya: Ang Pang-aabuso sa Mga Lehitimong Platform
Isa sa mga pinakakilalang taktika na nauugnay sa Tanzeem malware ay ang paggamit nito ng OneSignal, isang lehitimong platform ng pakikipag-ugnayan sa customer. Bagama't karaniwang ginagamit para sa mga push notification, in-app na mensahe, at iba pang tool sa komunikasyon, naniniwala ang mga mananaliksik na ang platform ay nagamit nang mali upang magpadala ng mga link ng phishing na nagde-deploy ng karagdagang malware.
Mga Pekeng Feature na may Mapanganib na Layunin
Sa pag-install, ang Tanzeem application ay nagpapakita ng isang pekeng chat interface, na humihimok sa mga biktima na i-click ang isang 'Start Chat' na buton. Ang application ay nag-prompt sa mga user na magbigay ng mga pahintulot sa Accessibility Services API. Sa mga pahintulot na ito, ang application ay maaaring magsagawa ng iba't ibang hindi ligtas na pagkilos.
Pagkuha ng Kontrol: Ang Mga Pahintulot na Pinagsasamantalahan
Ang Tanzeem application ay humihiling ng access sa ilang sensitibong pahintulot, na nagbibigay-daan sa:
- Kolektahin ang mga log ng tawag, mga listahan ng contact at mga mensaheng SMS.
- Subaybayan ang mga tumpak na lokasyon ng user.
- I-access ang mga detalye ng account at mga external na storage file.
Ang mga pahintulot na ito ay nagbibigay-daan sa application na mangalap at magpadala ng sensitibong data, na makabuluhang nakompromiso ang privacy ng user.
Pagtitiyak ng Pagtitiyaga: Mga Push Notification bilang isang Taktika
Ang isang natatanging tampok ng Tanzeem malware ay ang paggamit nito ng mga push notification upang hikayatin ang pag-install ng karagdagang Android malware. Ang diskarteng ito ay hindi lamang nagpapahusay sa pagtitiyaga ng malware ngunit binibigyang-diin din ang mga umuusbong na taktika ng DoNot Team sa kanilang mga pagsisikap na mapanatili ang access at mangalap ng katalinuhan para sa pambansang interes.
Itinatampok ng Tanzeem malware ang pagiging maparaan ng DoNot Team sa paggamit ng mga kasalukuyang platform at mga pahintulot upang maisagawa ang kanilang mga operasyon. Ang naka-target na katangian ng mga pag-atake na ito at ang mga advanced na taktika na ginamit ay nagpapaalala sa atin ng patuloy na nagbabagong tanawin ng mga banta sa cyber. Ang pananatiling mapagbantay at maingat ay mahalaga sa pag-navigate sa mga ganitong hamon.
