Шкідливе програмне забезпечення для мобільних пристроїв Tanzeem
Команда DoNot Team, відома загроза, була пов’язана з новим зловмисним програмним забезпеченням Android, ідентифікованим як Tanzeem і Tanzeem Update. Ці загрози, виявлені в жовтні та грудні 2024 року, є частиною цілеспрямованих кібератак. Незважаючи на незначні відмінності в інтерфейсі користувача, обидві програми мають майже ідентичні функції.
Програми, які називаються програмами для чату, припиняють роботу після встановлення та вимикаються після надання користувачем необхідних дозволів. Їх дизайн натякає на те, що вони зосереджені на конкретних особах або групах, потенційно націлені як на національні, так і на міжнародні організації.
Зміст
Розпаковування походження та історичних операцій DoNot Team
Команда DoNot , також відома як APT-C-35, Origami Elephant, SECTOR02 і Viceroy Tiger, працює з Індії. Група має історію використання фішингових електронних листів і зловмисного програмного забезпечення Android для збору цінної інформації. У жовтні 2023 року групу було пов’язано з Firebird , бекдором на основі .NET, націленим на жертв у Пакистані та Афганістані.
Хоча точні цілі зловмисного програмного забезпечення Tanzeem залишаються незрозумілими, групу підозрюють у збиранні розвідувальних даних щодо передбачуваних внутрішніх загроз.
Використання технологій: зловживання легітимними платформами
Однією з найвідоміших тактик, пов’язаних із шкідливим програмним забезпеченням Tanzeem, є використання OneSignal, законної платформи для залучення клієнтів. Хоча зазвичай використовується для push-сповіщень, повідомлень у програмі та інших інструментів зв’язку, дослідники вважають, що платформу зловживали для надсилання фішингових посилань, які розгортають додаткові шкідливі програми.
Підроблені функції зі шкідливими намірами
Після встановлення програма Tanzeem відображає підроблений інтерфейс чату, закликаючи жертв натиснути кнопку «Почати чат». Потім програма пропонує користувачам надати дозволи API служб доступності. З цими дозволами програма може виконувати різноманітні небезпечні дії.
Отримання контролю: використання дозволів
Програма Tanzeem запитує доступ до кількох конфіденційних дозволів, що дозволяє:
- Збирайте журнали викликів, списки контактів і SMS-повідомлення.
- Відстежуйте точне місцезнаходження користувачів.
- Доступ до даних облікового запису та зовнішніх файлів пам’яті.
Ці дозволи дозволяють додатку збирати та передавати конфіденційні дані, значно порушуючи конфіденційність користувача.
Забезпечення постійності: Push-повідомлення як тактика
Відмінною особливістю шкідливого програмного забезпечення Tanzeem є використання push-повідомлень для заохочення встановлення додаткового шкідливого програмного забезпечення Android. Такий підхід не тільки підвищує стійкість зловмисного програмного забезпечення, але й підкреслює розвиток тактики команди DoNot у її зусиллях зберегти доступ і збирати розвідувальні дані для національних інтересів.
Зловмисне програмне забезпечення Tanzeem підкреслює винахідливість команди DoNot у використанні існуючих платформ і дозволів для виконання своїх операцій. Цілеспрямований характер цих атак і застосована передова тактика нагадують нам про ландшафт кіберзагроз, що постійно змінюється. Залишаючись пильним і обережним, важливо долати такі виклики.
