Специалисты компании Cyfirma выявили новую целенаправленную кампанию известной хакерской группировки DoNot Team (также известной как APT-C-35 и Viceroy Tiger). В ходе исследования были обнаружены два вредоносных Android-приложения — Tanzeem и Tanzeem Update, демонстрирующие практически идентичный функционал с минимальными различиями в интерфейсе.
Механизм работы вредоносного ПО
Малварь маскируется под чат-приложение, однако после установки и получения необходимых разрешений немедленно прекращает работу. При первом запуске приложение демонстрирует поддельный интерфейс чата и провоцирует пользователя нажать кнопку «Начать чат». Ключевым элементом атаки является запрос доступа к API Accessibility Services, что открывает широкие возможности для выполнения вредоносных действий.
Возможности и функционал Tanzeem
Вредоносное приложение запрашивает расширенные права доступа, позволяющие:
— Собирать данные журналов вызовов и контактов
— Получать доступ к SMS-сообщениям
— Отслеживать точное местоположение устройства
— Получать информацию об учетных записях
— Осуществлять доступ к файлам на внешних носителях
— Производить захват и запись экрана
— Устанавливать соединение с командным центром
Инновационные методы распространения
Особого внимания заслуживает использование платформы OneSignal — популярного сервиса для рассылки push-уведомлений и сообщений. Исследователи предполагают, что злоумышленники используют данную платформу для распространения фишинговых ссылок, ведущих к установке дополнительного вредоносного ПО.
DoNot Team, предположительно имеющая индийское происхождение, ранее уже была замечена в проведении целенаправленных фишинговых кампаний и распространении Android-малвари. Хотя конкретные цели текущей кампании пока не установлены, эксперты полагают, что Tanzeem используется для целевого сбора разведывательной информации. Новая тактика с использованием push-уведомлений значительно повышает эффективность вредоносного ПО и обеспечивает его длительное присутствие на зараженных устройствах.
