Tehdit aktörü olarak bilinen Takım Yapma Yüksek hedefli siber saldırıların bir parçası olarak yeni bir Android kötü amaçlı yazılımıyla ilişkilendirildi.
eserler Tanzeem (Urduca’da “organizasyon” anlamına gelir) ve Tanzeem Güncellemesi adı verilen söz konusu güncelleme, Ekim ve Aralık 2024’te siber güvenlik şirketi Cyfirma tarafından tespit edildi. Söz konusu uygulamaların, kullanıcı arayüzünde küçük değişiklikler yapılması dışında aynı işlevleri içerdiği tespit edildi.
Cyfirma, “Uygulamanın bir sohbet uygulaması olarak çalışması gerekse de, yüklendikten sonra çalışmıyor ve gerekli izinler verildikten sonra kapanıyor.” not edildi Cuma analizinde. “Uygulamanın adı, uygulamanın hem ülke içindeki hem de dışındaki belirli bireyleri veya grupları hedeflemek için tasarlandığını gösteriyor.”
APT-C-35, Origami Elephant, SECTOR02 ve Viceroy Tiger olarak da takip edilen DoNot Team, ilgilenilen bilgileri toplamak için hedef odaklı kimlik avı e-postalarından ve Android kötü amaçlı yazılım ailelerinden yararlanan tarihi saldırılara sahip, Hindistan kökenli olduğuna inanılan bir bilgisayar korsanlığı grubudur.
Ekim 2023’te tehdit aktörü, Pakistan ve Afganistan’daki bir avuç kurbanı hedef alan Firebird adlı daha önce belgelenmemiş .NET tabanlı bir arka kapıyla ilişkilendirildi.
Şu anda en son kötü amaçlı yazılımın kesin hedeflerinin kim olduğu belli değil, ancak bunların iç tehditlere karşı istihbarat toplamak amacıyla belirli kişilere karşı kullanıldığından şüpheleniliyor.
Kötü amaçlı Android uygulamasının dikkate değer bir yönü, kuruluşlar tarafından anlık bildirimler, uygulama içi mesajlar, e-postalar ve SMS mesajları göndermek için kullanılan popüler bir müşteri etkileşim platformu olan OneSignal’ın kullanılmasıdır. Cyfirma, kötü amaçlı yazılım dağıtımına yol açan kimlik avı bağlantılarını içeren bildirimler göndermek için kitaplığın kötüye kullanıldığı teorisini ortaya attı.
Kullanılan dağıtım mekanizmasından bağımsız olarak uygulama, kurulum sırasında sahte bir sohbet ekranı görüntüler ve kurbanı “Sohbet Başlat” adlı düğmeye tıklamaya teşvik eder. Bunu yapmak, kullanıcıya erişilebilirlik hizmetleri API’sine izin vermesi talimatını veren bir mesajı tetikler ve böylece çeşitli hain eylemler gerçekleştirmesine olanak tanır.
Uygulama ayrıca arama kayıtlarının, kişilerin, SMS mesajlarının, kesin konumların, hesap bilgilerinin ve harici depolamada bulunan dosyaların toplanmasını kolaylaştıran çeşitli hassas izinlere erişim ister. Diğer özelliklerden bazıları ekran kayıtlarını yakalamayı ve bir cihaza bağlantı kurmayı içerir. komuta ve kontrol (C2) sunucusu.
Cyfirma, “Toplanan örnekler, kullanıcıları ek Android kötü amaçlı yazılım yüklemeye teşvik eden ve kötü amaçlı yazılımın cihazda kalıcılığını sağlayan anlık bildirimleri içeren yeni bir taktiği ortaya koyuyor” dedi.
“Bu taktik, kötü amaçlı yazılımın hedeflenen cihazda aktif kalma yeteneğini artırıyor ve bu da tehdit grubunun ulusal çıkarlar için istihbarat toplamaya katılmaya devam etme niyetinin geliştiğini gösteriyor.”
