Phần mềm độc hại Tanzeem Mobile

Nhóm DoNot, một tác nhân đe dọa đã biết, đã được kết nối với phần mềm độc hại Android mới được xác định là Tanzeem và Tanzeem Update. Những mối đe dọa này, được phát hiện vào tháng 10 và tháng 12 năm 2024, là một phần của các cuộc tấn công mạng có mục tiêu cao. Mặc dù có một số thay đổi nhỏ về giao diện người dùng, cả hai ứng dụng đều có chức năng gần như giống hệt nhau.

Được coi là ứng dụng trò chuyện, các ứng dụng này ngừng hoạt động sau khi cài đặt, tắt sau khi người dùng cấp các quyền cần thiết. Thiết kế của chúng gợi ý tập trung vào các cá nhân hoặc nhóm cụ thể, có khả năng nhắm mục tiêu vào cả các thực thể trong nước và quốc tế.

Giải mã nguồn gốc và hoạt động lịch sử của nhóm DoNot

Còn được gọi là APT-C-35, Origami Elephant, SECTOR02 và Viceroy Tiger, Nhóm DoNot được cho là hoạt động từ Ấn Độ. Nhóm này có tiền sử sử dụng email lừa đảo và phần mềm độc hại Android để thu thập thông tin tình báo có giá trị. Vào tháng 10 năm 2023, nhóm này đã được liên kết với Firebird , một cửa hậu dựa trên .NET nhắm mục tiêu vào các nạn nhân ở Pakistan và Afghanistan.

Trong khi mục tiêu chính xác của phần mềm độc hại Tanzeem vẫn chưa rõ ràng, nhóm này bị nghi ngờ có mục đích thu thập thông tin tình báo về các mối đe dọa nội bộ được nhận thấy.

Khai thác công nghệ: Lạm dụng các nền tảng hợp pháp

Một trong những chiến thuật đáng chú ý nhất liên quan đến phần mềm độc hại Tanzeem là việc sử dụng OneSignal, một nền tảng tương tác với khách hàng hợp pháp. Mặc dù thường được sử dụng cho thông báo đẩy, tin nhắn trong ứng dụng và các công cụ giao tiếp khác, các nhà nghiên cứu tin rằng nền tảng này đã bị sử dụng sai mục đích để gửi các liên kết lừa đảo triển khai thêm phần mềm độc hại.

Tính năng giả mạo với mục đích gây hại

Sau khi cài đặt, ứng dụng Tanzeem sẽ hiển thị giao diện trò chuyện giả, yêu cầu nạn nhân nhấp vào nút 'Bắt đầu trò chuyện'. Sau đó, ứng dụng sẽ nhắc người dùng cấp quyền cho API Dịch vụ trợ năng. Với các quyền này, ứng dụng có thể thực hiện nhiều hành động không an toàn.

Giành quyền kiểm soát: Quyền được khai thác

Ứng dụng Tanzeem yêu cầu quyền truy cập vào một số quyền nhạy cảm, cho phép ứng dụng:

• Thu thập nhật ký cuộc gọi, danh sách liên lạc và tin nhắn SMS.
• Theo dõi vị trí chính xác của người dùng.
• Truy cập thông tin tài khoản và tệp lưu trữ ngoài.

Những quyền này cho phép ứng dụng thu thập và truyền dữ liệu nhạy cảm, làm ảnh hưởng đáng kể đến quyền riêng tư của người dùng.

Đảm bảo tính bền bỉ: Thông báo đẩy như một chiến thuật

Một tính năng đặc biệt của phần mềm độc hại Tanzeem là sử dụng thông báo đẩy để khuyến khích cài đặt thêm phần mềm độc hại Android. Cách tiếp cận này không chỉ tăng cường sự tồn tại của phần mềm độc hại mà còn nhấn mạnh các chiến thuật đang phát triển của Nhóm DoNot trong nỗ lực duy trì quyền truy cập và thu thập thông tin tình báo vì lợi ích quốc gia.

Phần mềm độc hại Tanzeem làm nổi bật sự tháo vát của Nhóm DoNot trong việc tận dụng các nền tảng và quyền hiện có để thực hiện các hoạt động của họ. Bản chất có mục tiêu của các cuộc tấn công này và các chiến thuật tiên tiến được sử dụng nhắc nhở chúng ta về bối cảnh luôn thay đổi của các mối đe dọa mạng. Duy trì sự cảnh giác và thận trọng là rất quan trọng để vượt qua những thách thức như vậy.