Группа хакеров DoNot Team, также известная под псевдонимами APT-C-35, Origami Elephant, SECTOR02 и Viceroy Tiger, предположительно имеющая связи с Индией, начала использовать новый Android-вирус под названием Tanzeem, что в переводе с урду означает «организация». Этот вредонос, наряду с его обновленной версией Tanzeem Update, стал новым инструментом в арсенале группы для сбора разведданных.
Атаки, осуществляемые посредством этого вируса, носят целенаправленный характер и, скорее всего, нацелены на конкретных лиц или группы, представляющие интерес с точки зрения разведывательной информации. Киберпреступники маскируют свое вредоносное ПО под легитимные чат-приложения, что повышает вероятность обмана неосторожных пользователей. Однако, как только необходимые разрешения для работы приложения будут предоставлены, оно попросту закрывается, демонстрируя свою истинную цель.
После получения доступа к устройству жертвы, Tanzeem начинает запрашивать множество чувствительных разрешений. Это позволяет ему получить доступ к журналам вызовов, контактным данным, SMS-сообщениям, точным данным о местоположении, информации об учетных записях, файлам, хранящимся во внешней памяти, а также возможность записывать экран и устанавливать соединения с управляющим сервером. Такой обширный набор прав дает злоумышленникам полную картину действий пользователя и его личных данных.
В качестве еще одного механизма распространения вредоносного ПО, DoNot Team использует платформу OneSignal, предназначенную для отправки push-уведомлений. Через нее жертвам отправляются вредоносные ссылки, которые приводят к дальнейшему заражению. Такая тактика, в сочетании с использованием разрешений для специальных возможностей, обеспечивает вирусу постоянное присутствие на устройстве жертвы.
Цель таких масштабных операций по сбору данных очевидна – получение разведывательной информации, вероятно, в интересах государства. Это подтверждается предыдущими действиями группы, включая использование бэкдора Firebird на , который был обнаружен в октябре 2023 года и направлен на пользователей в Пакистане и Афганистане.
Вредоносные приложения, по сути, являются идентичными с точки зрения функциональности, отличаясь лишь незначительными изменениями в пользовательском интерфейсе. В частности, кнопка «Начать чат» является лишь обманом для получения необходимых разрешений, после чего приложение не работает как чат.
Обнаружение нового вируса Tanzeem и его распространение посредством push-уведомлений платформы OneSignal является новым тактическим приемом для DoNot Team, которые были обнаружены в октябре и декабре 2024 года компанией Cyfirma. Эта эволюция тактики, делает группу более опасной и скрытной.
Применение API специальных возможностей является критически важной функцией вредоносного ПО, поскольку оно позволяет ему выполнять различные вредоносные действия незаметно для пользователя. Это повышает эффективность сбора данных и поддержания постоянного присутствия на устройстве.
Следует отметить, что Google Play Protect, встроенная функция защиты для Android-устройств с сервисами Google Play, обеспечивает определенный уровень защиты от известных версий вредоносного ПО. Однако, как правило, киберпреступники быстро модифицируют свои инструменты, что требует постоянной бдительности и обновления защиты.
Таким образом, появление Tanzeem и Tanzeem Update является тревожным сигналом о растущей активности и техническом мастерстве DoNot Team. Пользователям Android-устройств следует проявлять осторожность при установке приложений из неофициальных источников и при предоставлении разрешений. Необходимо понимать, что за приманкой чат-приложения может скрываться серьезная угроза безопасности, ведущая к краже данных и слежке.
Изображение носит иллюстративный характер
Атаки, осуществляемые посредством этого вируса, носят целенаправленный характер и, скорее всего, нацелены на конкретных лиц или группы, представляющие интерес с точки зрения разведывательной информации. Киберпреступники маскируют свое вредоносное ПО под легитимные чат-приложения, что повышает вероятность обмана неосторожных пользователей. Однако, как только необходимые разрешения для работы приложения будут предоставлены, оно попросту закрывается, демонстрируя свою истинную цель.
После получения доступа к устройству жертвы, Tanzeem начинает запрашивать множество чувствительных разрешений. Это позволяет ему получить доступ к журналам вызовов, контактным данным, SMS-сообщениям, точным данным о местоположении, информации об учетных записях, файлам, хранящимся во внешней памяти, а также возможность записывать экран и устанавливать соединения с управляющим сервером. Такой обширный набор прав дает злоумышленникам полную картину действий пользователя и его личных данных.
В качестве еще одного механизма распространения вредоносного ПО, DoNot Team использует платформу OneSignal, предназначенную для отправки push-уведомлений. Через нее жертвам отправляются вредоносные ссылки, которые приводят к дальнейшему заражению. Такая тактика, в сочетании с использованием разрешений для специальных возможностей, обеспечивает вирусу постоянное присутствие на устройстве жертвы.
Цель таких масштабных операций по сбору данных очевидна – получение разведывательной информации, вероятно, в интересах государства. Это подтверждается предыдущими действиями группы, включая использование бэкдора Firebird на , который был обнаружен в октябре 2023 года и направлен на пользователей в Пакистане и Афганистане.
Вредоносные приложения, по сути, являются идентичными с точки зрения функциональности, отличаясь лишь незначительными изменениями в пользовательском интерфейсе. В частности, кнопка «Начать чат» является лишь обманом для получения необходимых разрешений, после чего приложение не работает как чат.
Обнаружение нового вируса Tanzeem и его распространение посредством push-уведомлений платформы OneSignal является новым тактическим приемом для DoNot Team, которые были обнаружены в октябре и декабре 2024 года компанией Cyfirma. Эта эволюция тактики, делает группу более опасной и скрытной.
Применение API специальных возможностей является критически важной функцией вредоносного ПО, поскольку оно позволяет ему выполнять различные вредоносные действия незаметно для пользователя. Это повышает эффективность сбора данных и поддержания постоянного присутствия на устройстве.
Следует отметить, что Google Play Protect, встроенная функция защиты для Android-устройств с сервисами Google Play, обеспечивает определенный уровень защиты от известных версий вредоносного ПО. Однако, как правило, киберпреступники быстро модифицируют свои инструменты, что требует постоянной бдительности и обновления защиты.
Таким образом, появление Tanzeem и Tanzeem Update является тревожным сигналом о растущей активности и техническом мастерстве DoNot Team. Пользователям Android-устройств следует проявлять осторожность при установке приложений из неофициальных источников и при предоставлении разрешений. Необходимо понимать, что за приманкой чат-приложения может скрываться серьезная угроза безопасности, ведущая к краже данных и слежке.
