The Threat-acteur bekend als DoNot-team is gekoppeld aan een nieuwe Android-malware als onderdeel van zeer gerichte cyberaanvallen.
De artefacten in kwestie, genaamd Tanzeem (wat ‘organisatie’ betekent in het Urdu) en Tanzeem Update, werden in oktober en december 2024 opgemerkt door cyberbeveiligingsbedrijf Cyfirma. Er is vastgesteld dat de apps in kwestie identieke functies bevatten, behoudens kleine wijzigingen in de gebruikersinterface.
“Hoewel de app zou moeten functioneren als een chatapplicatie, werkt deze niet meer als hij eenmaal is geïnstalleerd. Hij wordt afgesloten nadat de benodigde toestemmingen zijn verleend”, merkte Cyfirma op in een analyse van vrijdag. “De naam van de app doet vermoeden dat deze is ontworpen om specifieke individuen of groepen te targeten, zowel binnen als buiten het land.”
DoNot Team, ook gevolgd als APT-C-35, Origami Elephant, SECTOR02 en Viceroy Tiger, is een hackgroep die vermoedelijk van Indiase afkomst is, met historische aanvallen waarbij gebruik wordt gemaakt van spearphishing-e-mails en Android-malwarefamilies om interessante informatie te verzamelen.
In oktober 2023 werd de bedreigingsacteur gekoppeld aan een voorheen ongedocumenteerde, op .NET gebaseerde achterdeur genaamd Firebird, die zich richtte op een handvol slachtoffers in Pakistan en Afghanistan.
Het is momenteel niet duidelijk wie de exacte doelwitten van de nieuwste malware waren, hoewel vermoed wordt dat ze tegen specifieke individuen werden gebruikt met als doel het verzamelen van inlichtingen over interne bedreigingen.
Een opvallend aspect van de kwaadaardige Android-app is het gebruik van OneSignal, een populair platform voor klantbetrokkenheid dat door organisaties wordt gebruikt om pushmeldingen, in-app-berichten, e-mails en sms-berichten te verzenden. Cyfirma theoretiseerde dat de bibliotheek wordt misbruikt om meldingen te verzenden met phishing-links die tot de implementatie van malware leiden.
Ongeacht het gebruikte distributiemechanisme geeft de app na installatie een nep-chatscherm weer en wordt het slachtoffer aangespoord om op een knop met de naam ‘Chat starten’ te klikken. Als u dit doet, wordt een bericht geactiveerd waarin de gebruiker wordt geïnstrueerd om toestemming te geven voor de API voor toegankelijkheidsservices, waardoor deze verschillende snode acties kan uitvoeren.
De app vraagt ook toegang tot verschillende gevoelige machtigingen die het verzamelen van oproeplogboeken, contacten, sms-berichten, precieze locaties, accountinformatie en bestanden in externe opslag vergemakkelijken. Enkele van de andere functies zijn onder meer het maken van schermopnamen en het tot stand brengen van verbindingen met een command-and-control (C2)-server.
“De verzamelde monsters onthullen een nieuwe tactiek met pushmeldingen die gebruikers aanmoedigen om extra Android-malware te installeren, waardoor de persistentie van de malware op het apparaat wordt gegarandeerd”, aldus Cyfirma.
“Deze tactiek vergroot het vermogen van de malware om actief te blijven op het beoogde apparaat, wat de evoluerende intenties van de dreigingsgroep aangeeft om te blijven deelnemen aan het verzamelen van inlichtingen voor nationale belangen.”
