安卓恶意软件肆虐，印度黑客组织DoNot团队为幕后黑手

网络安全公司发现，名为Tanzeem的安卓恶意软件与印度黑客组织DoNot团队有关，该恶意软件通过虚假的聊天界面诱使用户授权敏感权限，可能用于特定目标的情报收集。

网络安全公司Cyfirma发现，名为Tanzeem（乌尔都语意为“组织”）和Tanzeem Update的安卓恶意软件与印度黑客组织DoNot团队的网络攻击有关。该恶意软件在2024年10月和12月被首次发现。经分析，这些应用功能几乎相同，仅在用户界面上有少量修改。

Cyfirma在周五的分析中指出：“尽管该应用被设计为聊天应用，但一旦安装后无法正常运行，安装并授予必要权限后即关闭。应用名称表明它的目标可能是特定的国内外个人或群体。”

DoNot团队，亦称APT-C-35、Origami Elephant、SECTOR02和Viceroy Tiger，是一个被认为起源于印度的黑客组织，历史上曾通过鱼叉式网络钓鱼邮件和安卓恶意软件家族收集感兴趣的信息。

2023年10月，该组织与一个名为Firebird的基于.NET的后门恶意软件有关，该恶意软件针对巴基斯坦和阿富汗的少数受害者。

目前尚不清楚这次恶意软件的具体目标是谁，但推测其可能用于针对特定个人，以便对内部威胁进行情报收集。

这个恶意安卓应用的一个显著特点是使用了OneSignal平台，OneSignal是一个流行的客户互动平台，组织可通过该平台发送推送通知、应用内消息、电子邮件和短信。Cyfirma推测，恶意软件可能滥用此平台，通过推送通知发送包含钓鱼链接的消息，从而实现恶意软件的部署。

无论使用何种分发机制，安装后该应用会显示一个虚假的聊天界面，并促使受害者点击名为“开始聊天”的按钮。点击后，应用会触发一条消息，要求用户授予辅助服务API的权限，从而执行各种恶意操作。

该应用还请求访问若干敏感权限，包括获取通话记录、联系人、短信、精确位置、账户信息及外部存储中的文件等。有些其他功能还包括录制屏幕和与指挥控制（C2）服务器建立连接。

Cyfirma表示：“收集的样本揭示了一种新策略，利用推送通知鼓励用户安装其他安卓恶意软件，从而确保恶意软件在设备上的持久性。”

“这一策略增强了恶意软件在目标设备上持续活动的能力，表明该威胁组织正在不断发展其情报收集的意图，继续为国家利益服务。”

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

本文来源：https://thehackernews.com/2025/01/donot-team-linked-to-new-tanzeem.html

原文始发于微信公众号（安全威胁纵横）：安卓恶意软件肆虐，印度黑客组织DoNot团队为幕后黑手