Tanzeem Mobile Malware
Das DoNot Team, ein bekannter Bedrohungsakteur, wurde mit neuer Android-Malware in Verbindung gebracht, die als Tanzeem und Tanzeem Update identifiziert wurde. Diese Bedrohungen, die im Oktober und Dezember 2024 aufgedeckt wurden, sind Teil hoch gezielter Cyberangriffe. Trotz ihrer leichten Unterschiede in der Benutzeroberfläche haben beide Apps nahezu identische Funktionen.
Die als Chat-Anwendungen angepriesenen Anwendungen funktionieren nach der Installation nicht mehr und werden beendet, nachdem der Benutzer die erforderlichen Berechtigungen erteilt hat. Ihr Design deutet darauf hin, dass sie sich auf bestimmte Einzelpersonen oder Gruppen konzentrieren und möglicherweise sowohl inländische als auch internationale Unternehmen ins Visier nehmen.
Inhaltsverzeichnis
Einblicke in die Ursprünge und historischen Aktivitäten des DoNot-Teams
Das DoNot Team, auch bekannt als APT-C-35, Origami Elephant, SECTOR02 und Viceroy Tiger, operiert vermutlich von Indien aus. Die Gruppe nutzt bereits seit längerem Spear-Phishing-E-Mails und Android-Malware, um wertvolle Informationen zu sammeln. Im Oktober 2023 wurde die Gruppe mit Firebird in Verbindung gebracht, einer .NET-basierten Hintertür, die es auf Opfer in Pakistan und Afghanistan abgesehen hat.
Während die genauen Ziele der Tanzeem-Malware unklar bleiben, besteht der Verdacht, dass die Gruppe Informationen über vermeintliche interne Bedrohungen sammeln möchte.
Exploiting Technology: Der Missbrauch legitimer Plattformen
Eine der auffälligsten Taktiken im Zusammenhang mit der Tanzeem-Malware ist die Nutzung von OneSignal, einer legitimen Plattform zur Kundenbindung. Obwohl die Plattform normalerweise für Push-Benachrichtigungen, In-App-Nachrichten und andere Kommunikationstools verwendet wird, glauben Forscher, dass sie missbraucht wurde, um Phishing-Links zu versenden, die zusätzliche Malware verbreiten.
Gefälschte Funktionen mit schädlicher Absicht
Nach der Installation zeigt die Tanzeem-Anwendung eine gefälschte Chat-Oberfläche an und fordert die Opfer auf, auf die Schaltfläche „Chat starten“ zu klicken. Anschließend fordert die Anwendung die Benutzer auf, der Accessibility Services API Berechtigungen zu erteilen. Mit diesen Berechtigungen kann die Anwendung eine Reihe unsicherer Aktionen ausführen.
Kontrolle erlangen: Die ausgenutzten Berechtigungen
Die Tanzeem-Anwendung fordert den Zugriff auf mehrere vertrauliche Berechtigungen an und ermöglicht ihr dadurch:
- Sammeln Sie Anrufprotokolle, Kontaktlisten und SMS-Nachrichten.
- Verfolgen Sie genaue Benutzerstandorte.
- Greifen Sie auf Kontodetails und externe Speicherdateien zu.
Diese Berechtigungen ermöglichen es der Anwendung, vertrauliche Daten zu sammeln und zu übertragen, wodurch die Privatsphäre der Benutzer erheblich gefährdet wird.
Persistenz sicherstellen: Push-Benachrichtigungen als Taktik
Eine Besonderheit der Tanzeem-Malware ist die Verwendung von Push-Benachrichtigungen, um die Installation weiterer Android-Malware zu fördern. Dieser Ansatz erhöht nicht nur die Persistenz der Malware, sondern unterstreicht auch die sich entwickelnden Taktiken des DoNot-Teams bei seinen Bemühungen, den Zugriff auf das System aufrechtzuerhalten und Informationen für nationale Interessen zu sammeln.
Die Tanzeem-Malware zeigt, wie einfallsreich das DoNot-Team vorhandene Plattformen und Berechtigungen nutzt, um seine Operationen durchzuführen. Die gezielte Natur dieser Angriffe und die eingesetzten fortschrittlichen Taktiken erinnern uns an die sich ständig weiterentwickelnde Landschaft der Cyberbedrohungen. Um solche Herausforderungen zu meistern, ist es entscheidend, wachsam und vorsichtig zu bleiben.
