Tanzeem Mobil Kötü Amaçlı Yazılım
Bilinen bir tehdit aktörü olan DoNot Team, Tanzeem ve Tanzeem Update olarak tanımlanan yeni Android kötü amaçlı yazılımlarına bağlandı. Ekim ve Aralık 2024'te ortaya çıkarılan bu tehditler, oldukça hedefli siber saldırıların bir parçasıdır. Kullanıcı arayüzündeki ufak farklılıklara rağmen, her iki uygulama da neredeyse aynı işlevleri paylaşmaktadır.
Sohbet uygulamaları olarak faturalandırılan uygulamalar, yüklendikten sonra işlevini yitirir ve kullanıcı gerekli izinleri verdikten sonra kapanır. Tasarımları, potansiyel olarak hem yerel hem de uluslararası varlıkları hedef alan belirli bireylere veya gruplara odaklanmaya işaret eder.
İçindekiler
DoNot Ekibinin Kökenleri ve Tarihsel Operasyonlarının Açıklanması
APT-C-35, Origami Elephant, SECTOR02 ve Viceroy Tiger olarak da bilinen DoNot Team'in Hindistan'dan faaliyet gösterdiğine inanılıyor. Grubun değerli istihbarat toplamak için mızraklı kimlik avı e-postaları ve Android kötü amaçlı yazılımları kullanma geçmişi var. Ekim 2023'te grup, Pakistan ve Afganistan'daki kurbanları hedef alan .NET tabanlı bir arka kapı olan Firebird ile ilişkilendirildi.
Tanzeem zararlı yazılımının kesin hedefleri henüz belirsizliğini korurken, grubun algılanan iç tehditler hakkında istihbarat toplamayı amaçladığından şüpheleniliyor.
Teknolojinin İstismarı: Meşru Platformların Kötüye Kullanımı
Tanzeem kötü amaçlı yazılımıyla ilişkilendirilen en dikkat çekici taktiklerden biri, meşru bir müşteri etkileşim platformu olan OneSignal'ı kullanmasıdır. Genellikle anlık bildirimler, uygulama içi mesajlar ve diğer iletişim araçları için kullanılsa da araştırmacılar, platformun ek kötü amaçlı yazılım dağıtan kimlik avı bağlantıları göndermek için kötüye kullanıldığına inanıyor.
Zararlı Niyetli Sahte Özellikler
Tanzeem uygulaması kurulum sırasında sahte bir sohbet arayüzü görüntüler ve kurbanları bir 'Sohbeti Başlat' düğmesine tıklamaya teşvik eder. Uygulama daha sonra kullanıcıları Erişilebilirlik Hizmetleri API'sine izin vermeye yönlendirir. Bu izinlerle uygulama çeşitli güvenli olmayan eylemler gerçekleştirebilir.
Kontrolü Ele Geçirmek: İstismar Edilen İzinler
Tanzeem uygulaması, aşağıdakilere olanak tanıyan çeşitli hassas izinlere erişim talep ediyor:
- Arama kayıtlarını, kişi listelerini ve SMS mesajlarını toplayın.
- Kullanıcıların konumlarını tam olarak takip edin.
- Hesap ayrıntılarına ve harici depolama dosyalarına erişin.
Bu izinler, uygulamanın hassas verileri toplamasına ve iletmesine olanak tanıyarak kullanıcı gizliliğini önemli ölçüde tehlikeye atıyor.
Kalıcılığı Sağlamak: Taktik Olarak Anlık Bildirimler
Tanzeem kötü amaçlı yazılımının ayırt edici bir özelliği, ek Android kötü amaçlı yazılımlarının kurulumunu teşvik etmek için push bildirimleri kullanmasıdır. Bu yaklaşım yalnızca kötü amaçlı yazılımın kalıcılığını artırmakla kalmaz, aynı zamanda DoNot Ekibinin ulusal çıkarlar için erişimi sürdürme ve istihbarat toplama çabalarındaki gelişen taktiklerini de vurgular.
Tanzeem kötü amaçlı yazılımı, DoNot Ekibinin operasyonlarını yürütmek için mevcut platformları ve izinleri kullanmadaki becerikliliğini vurgular. Bu saldırıların hedefli doğası ve kullanılan gelişmiş taktikler, bize siber tehditlerin sürekli gelişen manzarasını hatırlatır. Bu tür zorlukların üstesinden gelmek için uyanık ve dikkatli kalmak çok önemlidir.
