Експерти з кібербезпеки компанії Cyfirma виявили нову масштабну кампанію відомого хакерського угруповання DoNot Team (також відоме як APT-C-35 та Viceroy Tiger). Дослідники зафіксували появу двох шкідливих Android-додатків – Tanzeem та Tanzeem Update, які використовують схожі механізми для компрометації пристроїв користувачів.
Особливості функціонування шкідливого програмного забезпечення
Зловмисне ПЗ маскується під звичайний месенджер, проте має значно небезпечніший функціонал. Ключовим вектором атаки є отримання доступу до API Accessibility Services, що надає малвару розширені можливості для здійснення шкідливих дій. Після встановлення додаток демонструє фальшивий інтерфейс чату та спонукає користувача активувати додаткові дозволи через кнопку “Почати чат”.
Розширені можливості шкідливого ПЗ
Після отримання необхідних дозволів, Tanzeem здатний виконувати широкий спектр несанкціонованих дій:
– Збір даних про телефонні дзвінки та контакти
– Доступ до SMS-повідомлень
– Визначення точної геолокації пристрою
– Збір інформації про облікові записи
– Доступ до файлової системи
– Запис екрану пристрою
– Встановлення з’єднання з командним центром зловмисників
Інноваційні методи поширення загрози
Особливу увагу фахівців привернуло використання платформи OneSignal – популярного сервісу для надсилання push-сповіщень. За оцінками експертів, зловмисники застосовують цю платформу для масового розповсюдження фішингових посилань, що ведуть до завантаження додаткових шкідливих компонентів.
Аналіз діяльності DoNot Team, угруповання з ймовірним індійським походженням, свідчить про його спеціалізацію на цільових фішингових кампаніях та розповсюдженні Android-малвару. Хоча конкретні цілі поточної операції залишаються нез’ясованими, експерти вважають, що Tanzeem використовується для цілеспрямованого збору розвідувальних даних. Застосування push-сповіщень як методу поширення значно підвищує ефективність атак та забезпечує довготривалу присутність шкідливого ПЗ на заражених пристроях. Користувачам Android-пристроїв рекомендується встановлювати додатки виключно з офіційного магазину Google Play та регулярно перевіряти надані дозволи встановленим програмам.
