Logiciel malveillant pour mobile Tanzeem
L'équipe DoNot, un acteur connu de la menace, a été connectée à de nouveaux malwares Android identifiés comme Tanzeem et Tanzeem Update. Ces menaces, découvertes en octobre et décembre 2024, font partie de cyberattaques très ciblées. Malgré leurs légères variations dans l'interface utilisateur, les deux applications partagent des fonctionnalités presque identiques.
Présentées comme des applications de chat, ces applications cessent de fonctionner une fois installées et se ferment une fois que l'utilisateur a accordé les autorisations requises. Leur conception laisse entrevoir une focalisation sur des individus ou des groupes spécifiques, ciblant potentiellement des entités nationales et internationales.
Table des matières
Décryptage des origines et des opérations historiques de l'équipe DoNot
Également connu sous les noms d'APT-C-35, Origami Elephant, SECTOR02 et Viceroy Tiger, le groupe DoNot Team opérerait depuis l'Inde. Le groupe a l'habitude d'utiliser des e-mails de spear-phishing et des logiciels malveillants Android pour collecter des renseignements précieux. En octobre 2023, le groupe a été lié à Firebird , une porte dérobée basée sur .NET ciblant des victimes au Pakistan et en Afghanistan.
Bien que les cibles exactes du malware Tanzeem restent floues, le groupe est soupçonné de vouloir recueillir des renseignements sur les menaces internes perçues.
Exploitation de la technologie : l'utilisation abusive de plateformes légitimes
L'une des tactiques les plus connues associées au malware Tanzeem est son utilisation de OneSignal, une plateforme légitime d'engagement client. Bien qu'elle soit généralement utilisée pour les notifications push, les messages intégrés aux applications et d'autres outils de communication, les chercheurs pensent que la plateforme a été utilisée à mauvais escient pour envoyer des liens de phishing qui déploient des logiciels malveillants supplémentaires.
Fausses fonctionnalités avec une intention nuisible
Lors de l'installation, l'application Tanzeem affiche une fausse interface de chat, invitant les victimes à cliquer sur un bouton « Démarrer la discussion ». L'application invite ensuite les utilisateurs à accorder des autorisations à l'API des services d'accessibilité. Avec ces autorisations, l'application peut effectuer diverses actions dangereuses.
Prendre le contrôle : les autorisations exploitées
L'application Tanzeem demande l'accès à plusieurs autorisations sensibles, lui permettant de :
- Collectez les journaux d'appels, les listes de contacts et les messages SMS.
- Suivez les emplacements précis des utilisateurs.
- Accédez aux détails du compte et aux fichiers de stockage externes.
Ces autorisations permettent à l’application de collecter et de transmettre des données sensibles, compromettant considérablement la confidentialité des utilisateurs.
Assurer la persistance : les notifications push comme tactique
L'une des caractéristiques distinctives du malware Tanzeem est son utilisation de notifications push pour encourager l'installation de malwares Android supplémentaires. Cette approche non seulement améliore la persistance du malware, mais souligne également l'évolution des tactiques de l'équipe DoNot dans ses efforts pour maintenir l'accès et recueillir des renseignements pour les intérêts nationaux.
Le malware Tanzeem met en évidence l'ingéniosité de l'équipe DoNot à exploiter les plateformes et les autorisations existantes pour exécuter ses opérations. La nature ciblée de ces attaques et les tactiques avancées employées nous rappellent l'évolution constante du paysage des cybermenaces. Il est essentiel de rester vigilant et prudent pour relever ces défis.
