Malware para dispositivos móviles Tanzeem
El conocido actor de amenazas DoNot Team ha sido vinculado a un nuevo malware para Android identificado como Tanzeem y Tanzeem Update. Estas amenazas, descubiertas en octubre y diciembre de 2024, forman parte de ciberataques muy específicos. A pesar de sus ligeras variaciones en la interfaz de usuario, ambas aplicaciones comparten funcionalidades casi idénticas.
Anunciadas como aplicaciones de chat, estas aplicaciones dejan de funcionar una vez instaladas y se cierran una vez que el usuario otorga los permisos necesarios. Su diseño sugiere que se centran en individuos o grupos específicos, y que podrían estar dirigidas tanto a entidades nacionales como internacionales.
Tabla de contenido
Descubriendo los orígenes y las operaciones históricas de DoNot Team
También conocido como APT-C-35, Origami Elephant, SECTOR02 y Viceroy Tiger, se cree que DoNot Team opera desde la India. El grupo tiene antecedentes de utilizar correos electrónicos de phishing y malware para Android para recopilar información valiosa. En octubre de 2023, el grupo fue vinculado a Firebird , una puerta trasera basada en .NET dirigida a víctimas en Pakistán y Afganistán.
Si bien los objetivos exactos del malware Tanzeem aún no están claros, se sospecha que el grupo intenta recopilar información sobre amenazas internas percibidas.
Explotación de la tecnología: el abuso de plataformas legítimas
Una de las tácticas más notables asociadas con el malware Tanzeem es el uso de OneSignal, una plataforma legítima de interacción con el cliente. Si bien se utiliza normalmente para notificaciones push, mensajes dentro de aplicaciones y otras herramientas de comunicación, los investigadores creen que la plataforma se utilizó indebidamente para enviar enlaces de phishing que implementan malware adicional.
Funciones falsas con intenciones dañinas
Al instalarse, la aplicación Tanzeem muestra una interfaz de chat falsa que insta a las víctimas a hacer clic en el botón "Iniciar chat". Luego, la aplicación solicita a los usuarios que otorguen permisos a la API de Servicios de accesibilidad. Con estos permisos, la aplicación puede realizar una variedad de acciones inseguras.
Ganando el control: los permisos explotados
La aplicación Tanzeem solicita acceso a varios permisos confidenciales, lo que le permite:
- Recopila registros de llamadas, listas de contactos y mensajes SMS.
- Seguimiento de ubicaciones precisas de los usuarios.
- Acceda a los detalles de la cuenta y a los archivos de almacenamiento externo.
Estos permisos permiten que la aplicación recopile y transmita datos confidenciales, comprometiendo significativamente la privacidad del usuario.
Garantizar la persistencia: las notificaciones push como táctica
Una característica distintiva del malware Tanzeem es el uso de notificaciones push para fomentar la instalación de malware adicional para Android. Este enfoque no solo mejora la persistencia del malware, sino que también pone de relieve las tácticas cambiantes del equipo DoNot en sus esfuerzos por mantener el acceso y recopilar información para intereses nacionales.
El malware Tanzeem pone de relieve la capacidad de DoNot Team para aprovechar las plataformas y los permisos existentes para ejecutar sus operaciones. La naturaleza específica de estos ataques y las tácticas avanzadas empleadas nos recuerdan el panorama en constante evolución de las amenazas cibernéticas. Mantenerse alerta y ser cauteloso es crucial para afrontar estos desafíos.
