近日,网络安全公司Cyfirma发现,APT组织DoNot Team(又名APT-C-35、Origami Elephant、SECTOR02、Viceroy Tiger)推出了一款名为Tanzeem(乌尔都语意为“组织”)的新型Android恶意软件,用于实施高度针对性的网络攻击。该恶意软件伪装成聊天应用,实则用于窃取敏感信息,目标可能包括特定国家内外的个人或组织。
恶意软件详情:伪装聊天应用,窃取敏感数据
Tanzeem及其变种Tanzeem Update最早于2024年10月和12月被发现。尽管应用界面看似普通聊天软件,但安装后无法正常使用,反而会在用户授予权限后自动关闭。Cyfirma分析指出,Tanzeem的主要功能是收集目标设备的通话记录、联系人、短信、精确位置、账户信息以及外部存储中的文件,甚至能够录制屏幕并与命令控制(C2)服务器建立连接。
攻击手法:滥用OneSignal推送通知,诱导用户安装更多恶意软件
值得注意的是,Tanzeem恶意软件滥用了一款名为OneSignal的客户互动平台。OneSignal通常被企业用于发送推送通知、应用内消息、电子邮件和短信,但在此次攻击中,攻击者利用其推送包含钓鱼链接的通知,诱导用户安装更多恶意软件,从而确保恶意软件在设备上的持久性。
攻击流程:伪装聊天界面,诱骗用户授予权限
安装Tanzeem后,应用会显示一个虚假的聊天界面,并提示用户点击“开始聊天”按钮。点击后,应用会要求用户授予无障碍服务(Accessibility Services)权限,从而获得对设备的全面控制。一旦权限被授予,恶意软件即可执行多种恶意操作,包括窃取数据、录制屏幕以及与C2服务器通信。
DoNot Team的背景与历史活动
DoNot是一个疑似源自印度的APT组织,长期以鱼叉式钓鱼邮件和Android恶意软件为主要攻击手段,针对巴基斯坦、阿富汗等地的目标进行情报收集。2023年10月,该组织曾使用一款名为Firebird的.NET后门程序攻击巴基斯坦和阿富汗的少数目标。
潜在危害:情报收集与国家利益相关
Cyfirma指出,Tanzeem恶意软件的开发和使用表明,DoNot Team正不断升级其攻击技术,以支持国家利益相关的情报收集活动。通过推送通知诱导用户安装更多恶意软件,攻击者能够进一步增强恶意软件在目标设备上的持久性,从而长期窃取敏感信息。
防御建议:提高警惕,谨慎授权
针对此类攻击,安全专家建议:
-
谨慎下载应用:避免从非官方渠道安装应用,尤其是来源不明的聊天软件。
-
检查权限请求:对于要求过多敏感权限的应用保持警惕,尤其是涉及无障碍服务、通话记录、短信等权限的应用。
-
及时更新设备:确保Android设备系统和安全补丁处于最新状态,以减少漏洞利用风险。
-
安装安全软件:使用可靠的移动安全软件,定期扫描设备以检测潜在威胁。
总结
Tanzeem恶意软件的发现再次提醒我们,APT组织的攻击手段正在不断进化,普通用户也可能成为高度针对性攻击的目标。无论是个人还是企业,都应提高安全意识,采取有效的防护措施,避免成为网络攻击的受害者。
原文始发于微信公众号(技术修道场):警惕!DoNot 组织推出新型Android间谍软件Tanzeem,瞄准情报收集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论