✔Хак-группу DoNot связали с новой Android-малварью Tanzeem - «Новости»

22 января 2025 562 Новости / Заработок / Преимущества стилей / Ссылки 0

Обнаруженные исследователями артефакты, называвшиеся Tanzeem (в переводе с языка урду означает «организация») и Tanzeem Update, были найдены в октябре и декабре 2024 года. Эти приложения обладают практически идентичной функциональность, за исключением незначительных отличий в пользовательском интерфейсе.

«Хотя приложение должно функционировать как чат, после установки оно не работает, выключаясь сразу после получения необходимых разрешений, — рассказывают эксперты. — Название приложения наводит на мысль, что оно предназначено для атак на конкретных людей или группы как внутри страны, так и за ее пределами».

При установке приложение отображает фальшивый экран чата и предлагает жертве нажать кнопку «Начать чат». При этом появляется сообщение, в котором пользователю предлагается дать приложению разрешение на доступ к API Accessibility Services, что позволит ему выполнять различные вредоносные действия.

Хак-группу DoNot связали с новой Android-малварью Tanzeem - «Новости»

Кроме того, приложение запрашивает права, которые позволяют собирать данные журналов вызовов, контакты, SMS-сообщения, информацию о точном местоположении устройства, учетных записях и файлах, находящихся на внешних носителях. Среди других функций эксперты отмечают захват и запись экрана, а также установление соединений с управляющим сервером.

Считается, что DoNot Team — это группировка индийского происхождения. В прошлом она использовала фишинг и малварь для Android для сбора интересующей информации. В настоящее время неизвестно, на кого именно нацелена новая кампания, но исследователи полагают, что Tanzeem так же применялся против конкретных людей с целью сбора оперативной информации.

Отличительной особенностью новой малвари исследователи называют использование OneSignal — популярной платформы для привлечения клиентов, которая используется организациями для рассылки push-уведомлений, in-app сообщений, электронных писем и SMS. В Cyfirma предположили, что в данном случае библиотека используется для отправки уведомлений, содержащих фишинговые ссылки, которые ведут к установке вредоносного ПО.

«Собранные образцы демонстрируют новую тактику, связанную с push-уведомлениями, которые побуждают пользователей устанавливать дополнительные вредоносные программы для Android, обеспечивая постоянное присутствие вредоносного ПО на устройстве, — заключают в Cyfirma. — Такая тактика улучшает эффективность вредоносного ПО, позволяя ему дальше оставаться активным на целевом устройстве».

Аналитики Cyfirma связали новую малварь для Android с таргетированными атаками хакерской группы, известной как DoNot Team (она же APT-C-35, Origami Elephant, SECTOR02 и Viceroy Tiger). Обнаруженные исследователями артефакты, называвшиеся Tanzeem (в переводе с языка урду означает «организация») и Tanzeem Update, были найдены в октябре и декабре 2024 года. Эти приложения обладают практически идентичной функциональность, за исключением незначительных отличий в пользовательском интерфейсе. «Хотя приложение должно функционировать как чат, после установки оно не работает, выключаясь сразу после получения необходимых разрешений, — рассказывают эксперты. — Название приложения наводит на мысль, что оно предназначено для атак на конкретных людей или группы как внутри страны, так и за ее пределами». При установке приложение отображает фальшивый экран чата и предлагает жертве нажать кнопку «Начать чат». При этом появляется сообщение, в котором пользователю предлагается дать приложению разрешение на доступ к API Accessibility Services, что позволит ему выполнять различные вредоносные действия. Кроме того, приложение запрашивает права, которые позволяют собирать данные журналов вызовов, контакты, SMS-сообщения, информацию о точном местоположении устройства, учетных записях и файлах, находящихся на внешних носителях. Среди других функций эксперты отмечают захват и запись экрана, а также установление соединений с управляющим сервером. Считается, что DoNot Team — это группировка индийского происхождения. В прошлом она использовала фишинг и малварь для Android для сбора интересующей информации. В настоящее время неизвестно, на кого именно нацелена новая кампания, но исследователи полагают, что Tanzeem так же применялся против конкретных людей с целью сбора оперативной информации. Отличительной особенностью новой малвари исследователи называют использование OneSignal — популярной платформы для привлечения клиентов, которая используется организациями для рассылки push-уведомлений, in-app сообщений, электронных писем и SMS. В Cyfirma предположили, что в данном случае библиотека используется для отправки уведомлений, содержащих фишинговые ссылки, которые ведут к установке вредоносного ПО. «Собранные образцы демонстрируют новую тактику, связанную с push-уведомлениями, которые побуждают пользователей устанавливать дополнительные вредоносные программы для Android, обеспечивая постоянное присутствие вредоносного ПО на устройстве, — заключают в Cyfirma. — Такая тактика улучшает эффективность вредоносного ПО, позволяя ему дальше оставаться активным на целевом устройстве».

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.