- Регистрация
- 26.05.23
- Сообщения
- 219
- Онлайн
- 161д 4ч 7м
- Сделки
- 0
- Нарушения
- 0 / 0
Аналитики Cyfirma связали новую малварь для Android с таргетированными атаками хакерской группы, известной как DoNot Team (она же APT-C-35, Origami Elephant, SECTOR02 и Viceroy Tiger).
Обнаруженные исследователями артефакты, называвшиеся Tanzeem (в переводе с языка урду означает «организация») и Tanzeem Update, были найдены в октябре и декабре 2024 года. Эти приложения обладают практически идентичной функциональность, за исключением незначительных отличий в пользовательском интерфейсе.
Кроме того, приложение запрашивает права, которые позволяют собирать данные журналов вызовов, контакты, SMS-сообщения, информацию о точном местоположении устройства, учетных записях и файлах, находящихся на внешних носителях. Среди других функций эксперты отмечают захват и запись экрана, а также установление соединений с управляющим сервером.
Считается, что DoNot Team — это группировка индийского происхождения. В прошлом она использовала фишинг и малварь для Android для сбора интересующей информации. В настоящее время неизвестно, на кого именно нацелена новая кампания, но исследователи полагают, что Tanzeem так же применялся против конкретных людей с целью сбора оперативной информации.
Отличительной особенностью новой малвари исследователи называют использование OneSignal — популярной платформы для привлечения клиентов, которая используется организациями для рассылки push-уведомлений, in-app сообщений, электронных писем и SMS. В Cyfirma предположили, что в данном случае библиотека используется для отправки уведомлений, содержащих фишинговые ссылки, которые ведут к установке вредоносного ПО.
Обнаруженные исследователями артефакты, называвшиеся Tanzeem (в переводе с языка урду означает «организация») и Tanzeem Update, были найдены в октябре и декабре 2024 года. Эти приложения обладают практически идентичной функциональность, за исключением незначительных отличий в пользовательском интерфейсе.
При установке приложение отображает фальшивый экран чата и предлагает жертве нажать кнопку «Начать чат». При этом появляется сообщение, в котором пользователю предлагается дать приложению разрешение на доступ к API Accessibility Services, что позволит ему выполнять различные вредоносные действия.
Считается, что DoNot Team — это группировка индийского происхождения. В прошлом она использовала фишинг и малварь для Android для сбора интересующей информации. В настоящее время неизвестно, на кого именно нацелена новая кампания, но исследователи полагают, что Tanzeem так же применялся против конкретных людей с целью сбора оперативной информации.
Отличительной особенностью новой малвари исследователи называют использование OneSignal — популярной платформы для привлечения клиентов, которая используется организациями для рассылки push-уведомлений, in-app сообщений, электронных писем и SMS. В Cyfirma предположили, что в данном случае библиотека используется для отправки уведомлений, содержащих фишинговые ссылки, которые ведут к установке вредоносного ПО.
