Gelişmiş kalıcı tehdit grubu “DONOT Team”, Hindistan’da ülkenin ulusal güvenliğiyle ilgili görünen kişi ve grupları hedef alan istihbarat toplama operasyonlarını yürütmek için neredeyse aynı iki Android uygulamasından yararlanıyor.
“Tanzeem” ve “Tanzeem Güncellemesi” uygulamaları sohbet uygulamaları gibi görünüyor ancak reklamı yapıldığı gibi çalışmıyor. Bunun yerine, bir sisteme kurulduktan sonra kullanıcıdan cihazın erişilebilirlik özelliğini açmasını ve kolayca kötüye kullanılabilen çeşitli izne erişim izni vermesini isterler. Yeni DONOT kampanyasını yakın zamanda fark eden Cyfirma’daki araştırmacılara göre uygulamalar daha sonra kapanıyor ve ele geçirilen cihazdan gizlice bilgi toplamaya devam ediyor.
İstihbarat Toplama ve Ötesi
Cyfirma, “Kötü şöhretli DONOT APT’nin devam eden çabaları, iç tehditler hakkında istihbarat toplamanın ötesine geçiyor; aynı zamanda Güney Asya’daki çeşitli kuruluşları da hedef alıyor.” bir blog yazısında not edildi Güvenlik sağlayıcısı, amacın Hindistan için stratejik öneme sahip istihbarat toplamak gibi göründüğünü söyledi.
Cyfirma’nın Tanzeem ve Tanzeem Güncellemesi analizi, uygulamaların, popüler bir müşteri etkileşim platformu olan OneSignal’ı kullanarak, her iki uygulamayı da cihazlarına yükleyen kullanıcılara anında bildirimler gönderdiğini gösterdi. OneSignal temel olarak geliştiricilerin ve işletmelerin mobil cihazlar, Web tarayıcıları, masaüstü uygulamaları ve diğer platformlar üzerinden kullanıcılara uygulama içi mesajlar, e-postalar ve SMS mesajları göndermesine olanak tanır.
Bir kullanıcı cihazına Tanzeem veya Tanzeem Güncellemesini yüklediğinde, OneSignal aracılığıyla sahte bir sohbet başlatmasını isteyen bir anında bildirim alır. “Sohbet Başlat” istemine tıklamaları için kandırılan kullanıcılar, uygulamayı kullanmak için Android erişilebilirlik hizmetlerini etkinleştirmelerini isteyen bir sonraki istemle karşılaşıyor. Kurban daha sonra uygulamanın çeşitli tehlikeli izne eriştiği erişilebilirlik ayarları sayfasına yönlendiriliyor. Bunlar, iki kötü amaçlı Android uygulamasının ele geçirilen cihazdaki arama kayıtlarını okumasına ve almasına olanak tanıyan izinleri içerir; iletişim bilgilerini okumak ve almak için; ve dosya yöneticisinden veri aramak ve almak için.
Cyfirma’daki araştırmacılar, tehdit aktörünün hem gelen hem de giden kısa mesajları silmesine ve okumasına izin verenler gibi diğer bazı izinlere de erişen uygulamalar buldu. Ayrıca Android cihazının dahili depolama alanına erişerek cihazın tam konumunu öğrenebilir ve hareketini gerçek zamanlı olarak izleyebilirler.
Önemli bir şekilde Cyfirma, kalıcılığı sağlamak için kurbanların ele geçirilen cihazlara ek kötü amaçlı yükler yüklemesini sağlamak için anlık bildirimleri kullanan kötü amaçlı uygulamaları buldu. Cyfirma, “Bu taktik, kötü amaçlı yazılımın hedef cihazda aktif kalma yeteneğini artırıyor ve bu da tehdit grubunun ulusal çıkarlar için istihbarat toplamaya katılmaya devam etme niyetinin geliştiğini gösteriyor.” dedi.
Kalıcı bir Güney Asya Tehdidi
Bazı satıcıların APT-C-35, SectorE02 ve Viceroy Tiger olarak takip ettiği DONOT Ekibi, muhtemelen Hindistan ile bağlantısı olan ve en az 2016’dan beri faaliyet gösteren bir tehdit grubudur. Birçok sağlayıcı, grubu saldırılar ve veri hırsızlığıyla ilişkilendirmiştir. Güney Asya’daki varlıkları hedef alan kampanyalar. Kasım 2024’te, Cyble bağlantılı DONOT Ekibi Pakistan’da ülkenin savunma ve denizcilik endüstrileriyle bağlantılı imalat şirketlerini hedef alan bir kampanya.
Diğerleri gibi ESET DONOT Ekibinin Sri Lanka, Bangladeş, Pakistan ve Nepal’deki kuruluşları hedef alan casusluk kampanyalarında gelişmiş Windows ve Android kötü amaçlı yazılımlarını kullandığını bildirdik. 2023 yılında Cyfirma üç kötü amaçlı Android uygulaması bulduğunu bildirdi Tehdit aktörünün Keşmir ve Pakistan’daki hedeflenen kişilere karşı kullandığı Google Play Store’da.
DONOT Ekibi bunlardan biridir Hindistan dışında faaliyet gösterdiğine inanılan birkaç APT grubu Bu, çevrimiçi gasp dolandırıcılığı, hacktivizm ve giderek artan oranda siber casusluk ve gözetim dahil olmak üzere bir dizi kötü niyetli faaliyetle meşgul olan bir şirkettir. Güvenlik uzmanları, faaliyetlerin en azından bir kısmının bölgedeki jeopolitik gerilimlere ve bölgedeki daha geniş bir büyümeye bağlı olduğuna inanıyor. her türlü siber suç Son yıllarda Güney Asya’da.
