Исследовательская группа CYFIRMA выявила серьезную угрозу, исходящую от индийской APT-группы DONOT, разрабатывающей вредоносное программное обеспечение с целью сбора информации о внутренних угрозах. В центре внимания находятся приложения «Tanzeem» и «Обновление Tanzeem», которые используют платформу OneSignal для отправки фишинговых push-уведомлений.
Названия с хитрой подоплекой
Название «Танзим», переводимое с урду как «организация», служит для обмана пользователей. Группа DONOT использует такие названия, чтобы скрыть свои истинные намерения, маскируясь под законные организации или связываясь с терминологией, ассоциирующейся с террористическими группами и индийскими правоохранительными органами.
Технические детали угрозы
Согласно анализу CYFIRMA, версии приложений Tanzeem, собранные в октябре и декабре, практически идентичны, за исключением незначительных изменений в пользовательском интерфейсе. Использование библиотеки OneSignal для доставки вредоносных уведомлений представляет собой новую тактику, делающую вредоносное ПО более устойчивым на зараженных устройствах.
Опасные разрешения
Анализ Android-манифеста приложения Tanzeem показал, что вредоносное ПО требует опасных разрешений, включая:
- Доступ к серверу управления по определенному URL-адресу
- Взаимодействие с доменами Appspot
- Поддержание контроля над зараженными устройствами
Стратегические намерения группы DONOT
Группа сосредоточилась не только на внутренних угрозах, но и на сборе разведывательной информации по всей Южной Азии, что подтверждает намерение Индии. Внедрение push-уведомлений для распространения дополнительных вредоносных программ для Android демонстрирует эволюцию тактики группы, направленную на обеспечение долговечности их операций.
Постоянная угроза
Использование платформы MITRE ATT&CK подчеркивает сложность вредоносного ПО для Android, распространяемого DONOT. Это также актуализирует постоянную угрозу, которую представляет эта группа.
Специалистам по кибербезопасности настоятельно рекомендуется сохранять бдительность, так как DONOT адаптирует свои методы, внедряя OneSignal в свои атаки, чтобы повысить устойчивость и сохранить свои позиции в будущих кибератаках.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая угроза от APT-группы DONOT: вредоносное ПО Tanzeem".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
