Tanzeem 行動惡意軟體

DoNot Team 是一位已知的威脅參與者，已與名為 Tanzeem 和 Tanzeem Update 的新 Android 惡意軟體相關聯。這些威脅在 2024 年 10 月和 12 月發現，是高度針對性的網路攻擊的一部分。儘管用戶介面略有不同，但這兩個應用程式的功能幾乎相同。

這些應用程式被稱為聊天應用程序，一旦安裝就停止運行，並在用戶授予所需權限後關閉。他們的設計暗示著對特定個人或團體的關注，可能針對國內和國際實體。

揭秘 DoNot Team 的起源與歷史運作

DoNot 團隊也被稱為 APT-C-35、Origami Elephant、SECTOR02 和 Viceroy Tiger，據信在印度開展活動。該組織有使用魚叉式網路釣魚電子郵件和 Android 惡意軟體來收集有價值情報的歷史。 2023 年 10 月，該組織與Firebird有聯繫，Firebird 是一個基於 .NET 的後門，針對巴基斯坦和阿富汗的受害者。

雖然 Tanzeem 惡意軟體的確切目標尚不清楚，但該組織涉嫌旨在收集有關感知到的內部威脅的情報。

利用科技：濫用合法平台

與 Tanzeem 惡意軟體相關的最引人注目的策略之一是使用合法的客戶參與平台 OneSignal。雖然該平台通常用於推播通知、應用程式內訊息和其他通訊工具，但研究人員認為該平台被濫用於發送部署其他惡意軟體的網路釣魚連結。

具有惡意意圖的虛假功能

安裝後，Tanzeem 應用程式會顯示一個虛假的聊天介面，敦促受害者點擊「開始聊天」按鈕。然後，應用程式會提示使用者授予輔助功能服務 API 的權限。有了這些權限，應用程式就可以執行各種不安全的操作。

取得控制：被利用的權限

Tanzeem 應用程式要求存取多個敏感權限，使其能夠：

• 收集通話記錄、聯絡人清單和簡訊。
• 追蹤精確的用戶位置。
• 存取帳戶詳細資訊和外部儲存文件。

這些權限允許應用程式收集和傳輸敏感數據，從而嚴重損害用戶隱私。

確保持久性：推播通知作為一種策略

Tanzeem 惡意軟體的一個顯著特徵是它使用推播通知來鼓勵安裝其他 Android 惡意軟體。這種方法不僅增強了惡意軟體的持久性，而且還突顯了 DoNot 團隊在維護存取和收集情報以維護國家利益方面不斷變化的策略。

Tanzeem 惡意軟體凸顯了 DoNot 團隊在利用現有平台和權限執行操作方面的足智多謀。這些攻擊的針對性和所採用的先進策略提醒我們網路威脅不斷變化的情況。保持警惕和謹慎對於應對此類挑戰至關重要。