Tanzeem 移动恶意软件

知名威胁行为者 DoNot Team 与新型 Android 恶意软件 Tanzeem 和 Tanzeem Update 有关。这些威胁于 2024 年 10 月和 12 月被发现，是高度针对性的网络攻击的一部分。尽管用户界面略有不同，但这两个应用程序的功能几乎完全相同。

这些应用程序被称为聊天应用程序，一旦安装就会停止运行，在用户授予所需权限后关闭。它们的设计暗示着其针对的是特定个人或团体，可能针对国内和国际实体。

揭秘 DoNot 团队的起源和历史运作

DoNot 团队又名 APT-C-35、Origami Elephant、SECTOR02 和 Viceroy Tiger，据信该组织来自印度。该组织曾使用鱼叉式网络钓鱼电子邮件和 Android 恶意软件来收集有价值的情报。2023 年 10 月，该组织被发现与Firebird有关，Firebird 是一个基于 .NET 的后门，针对的是巴基斯坦和阿富汗的受害者。

虽然 Tanzeem 恶意软件的具体目标尚不清楚，但该组织被怀疑旨在收集有关已知内部威胁的情报。

利用技术：滥用合法平台

Tanzeem 恶意软件最引人注目的策略之一是它使用了合法的客户互动平台 OneSignal。虽然该平台通常用于推送通知、应用内消息和其他通信工具，但研究人员认为，该平台被滥用来发送部署更多恶意软件的网络钓鱼链接。

带有有害意图的虚假功能

安装后，Tanzeem 应用程序会显示一个虚假的聊天界面，敦促受害者单击“开始聊天”按钮。然后，该应用程序会提示用户授予对无障碍服务 API 的权限。有了这些权限，该应用程序就可以执行各种不安全的操作。

获得控制权：权限利用

Tanzeem 应用程序请求访问多个敏感权限，使其能够：

• 收集通话记录、联系人列表和短信。
• 追踪精确的用户位置。
• 访问帐户详细信息和外部存储文件。

这些权限允许应用程序收集和传输敏感数据，严重危害用户隐私。

确保持久性：推送通知作为一种策略

Tanzeem 恶意软件的一个显著特点是它使用推送通知来鼓励安装其他 Android 恶意软件。这种方法不仅增强了恶意软件的持久性，还凸显了 DoNot 团队为维护访问权限和收集情报以维护国家利益而不断演变的策略。

Tanzeem 恶意软件凸显了 DoNot 团队在利用现有平台和权限执行其操作方面的足智多谋。这些攻击的针对性和所采用的先进策略提醒我们网络威胁的形势不断演变。保持警惕和谨慎对于应对此类挑战至关重要。