
El actor de amenazas conocido como Equipo no hacer se ha relacionado con un nuevo malware para Android como parte de ataques cibernéticos altamente dirigidos.
El artefactos en cuestión, llamado Tanzeem (que significa “organización” en urdu) y Tanzeem Update, fueron detectados en octubre y diciembre de 2024 por la empresa de ciberseguridad Cyfirma. Se ha descubierto que las aplicaciones en cuestión incorporan funciones idénticas, salvo modificaciones menores en la interfaz de usuario.
“Aunque se supone que la aplicación funciona como una aplicación de chat, no funciona una vez instalada y se cierra después de que se le otorgan los permisos necesarios”, Cyfirma anotado en un análisis del viernes. “El nombre de la aplicación sugiere que está diseñada para dirigirse a individuos o grupos específicos tanto dentro como fuera del país”.
DoNot Team, también identificado como APT-C-35, Origami Elephant, SECTOR02 y Viceroy Tiger, es un grupo de hackers que se cree es de origen indio, con ataques históricos que aprovechan correos electrónicos de phishing y familias de malware de Android para recopilar información de interés.
En octubre de 2023, el actor de amenazas fue vinculado a una puerta trasera basada en .NET previamente indocumentada llamada Firebird que apuntaba a un puñado de víctimas en Pakistán y Afganistán.
Actualmente no está claro quiénes fueron los objetivos exactos del último malware, aunque se sospecha que se utilizaron contra personas específicas con el objetivo de recopilar inteligencia contra amenazas internas.
Un aspecto notable de la aplicación maliciosa de Android es el uso de OneSignal, una popular plataforma de interacción con el cliente utilizada por organizaciones para enviar notificaciones automáticas, mensajes dentro de la aplicación, correos electrónicos y mensajes SMS. Cyfirma teorizó que se está abusando de la biblioteca para enviar notificaciones que contienen enlaces de phishing que conducen a la implementación de malware.
Independientemente del mecanismo de distribución utilizado, la aplicación muestra una pantalla de chat falsa al instalarse e insta a la víctima a hacer clic en un botón llamado “Iniciar chat”. Al hacerlo, se activa un mensaje que indica al usuario que obtenga permisos para la API de servicios de accesibilidad, lo que le permite realizar varias acciones nefastas.
La aplicación también solicita acceso a varios permisos confidenciales que facilitan la recopilación de registros de llamadas, contactos, mensajes SMS, ubicaciones precisas, información de cuentas y archivos presentes en el almacenamiento externo. Algunas de las otras características incluyen capturar grabaciones de pantalla y establecer conexiones a un servidor de comando y control (C2).
“Las muestras recopiladas revelan una nueva táctica que involucra notificaciones automáticas que alientan a los usuarios a instalar malware adicional en Android, asegurando la persistencia del malware en el dispositivo”, dijo Cyfirma.
“Esta táctica mejora la capacidad del malware para permanecer activo en el dispositivo objetivo, lo que indica las intenciones cambiantes del grupo de amenazas de continuar participando en la recopilación de inteligencia para intereses nacionales”.




