Tehdit aktörü olarak bilinen Takım Yapma Yüksek hedefli siber saldırıların bir parçası olarak yeni bir Android kötü amaçlı yazılımıyla ilişkilendirildi.
Tanzeem (Urduca’da “organizasyon” anlamına gelir) ve Tanzeem Güncellemesi adı verilen söz konusu eserler, siber güvenlik şirketi Cyfirma tarafından Ekim ve Aralık 2024’te tespit edildi. Söz konusu uygulamaların, kullanıcı arayüzünde küçük değişiklikler yapılması dışında aynı işlevleri içerdiği tespit edildi.
Cyfirma, Cuma günkü analizinde “Uygulamanın bir sohbet uygulaması olarak çalışması gerekse de, yüklendikten sonra çalışmıyor ve gerekli izinler verildikten sonra kapanıyor” dedi. “Uygulamanın adı, uygulamanın hem ülke içindeki hem de dışındaki belirli bireyleri veya grupları hedeflemek için tasarlandığını gösteriyor.”
APT-C-35, Origami Elephant, SECTOR02 ve Viceroy Tiger olarak da takip edilen DoNot Team, ilgilenilen bilgileri toplamak için hedef odaklı kimlik avı e-postalarından ve Android kötü amaçlı yazılım ailelerinden yararlanan tarihi saldırılara sahip, Hindistan kökenli olduğuna inanılan bir bilgisayar korsanlığı grubudur.
Ekim 2023’te tehdit aktörü, Pakistan ve Afganistan’daki bir avuç kurbanı hedef alan Firebird adlı daha önce belgelenmemiş .NET tabanlı bir arka kapıyla ilişkilendirildi.
Şu anda en son kötü amaçlı yazılımın kesin hedeflerinin kim olduğu belli değil, ancak bunların iç tehditlere karşı istihbarat toplamak amacıyla belirli kişilere karşı kullanıldığından şüpheleniliyor.
Kötü amaçlı Android uygulamasının dikkate değer bir yönü, kuruluşlar tarafından anlık bildirimler, uygulama içi mesajlar, e-postalar ve SMS mesajları göndermek için kullanılan popüler bir müşteri etkileşim platformu olan OneSignal’ın kullanılmasıdır. Cyfirma, kötü amaçlı yazılım dağıtımına yol açan kimlik avı bağlantıları içeren bildirimler göndermek için kitaplığın kötüye kullanıldığı teorisini ortaya attı.
Kullanılan dağıtım mekanizmasından bağımsız olarak uygulama, kurulum sırasında sahte bir sohbet ekranı görüntüler ve kurbanı “Sohbet Başlat” adlı düğmeye tıklamaya teşvik eder. Bunu yapmak, kullanıcıya erişilebilirlik hizmetleri API’sine izin vermesi talimatını veren bir mesajı tetikler ve böylece çeşitli hain eylemler gerçekleştirmesine olanak tanır.
Uygulama ayrıca arama kayıtlarının, kişilerin, SMS mesajlarının, kesin konumların, hesap bilgilerinin ve harici depolamada bulunan dosyaların toplanmasını kolaylaştıran çeşitli hassas izinlere erişim ister. Diğer özelliklerden bazıları arasında ekran kayıtlarının yakalanması ve bir komuta ve kontrol (C2) sunucusuna bağlantı kurulması yer alır.
Cyfirma, “Toplanan örnekler, kullanıcıları ek Android kötü amaçlı yazılım yüklemeye teşvik eden ve kötü amaçlı yazılımın cihazda kalıcılığını sağlayan anlık bildirimleri içeren yeni bir taktiği ortaya koyuyor” dedi.
“Bu taktik, kötü amaçlı yazılımın hedeflenen cihazda aktif kalma yeteneğini artırıyor ve bu da tehdit grubunun ulusal çıkarlar için istihbarat toplamaya katılmaya devam etme niyetinin geliştiğini gösteriyor.”