警惕！印度APT组织DONOT借伪装应用大肆搜集情报

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在当今复杂多变的网络安全环境中，各类威胁行为者不断翻新手段，试图在数字世界中获取敏感信息。近期，一个来自印度的高级持续性威胁（APT）组织DONOT，因其利用恶意安卓应用进行情报收集的行径，引发了广泛关注。

伪装的“聊天平台”

此次被曝光的恶意应用名为“Tanzeem”和“Tanzeem Update”，乍看之下，它们仿佛是普通的聊天平台。然而，Cyfirma的研究人员揭开了其伪装的面纱，发现这背后竟是DONOT组织精心策划的情报收集陷阱。当用户安装这些应用后，会发现其无法正常运行。但此时，应用已悄然开始诱导用户授予危险权限，以便攻击者获取设备中的敏感数据。

技术手段剖析

1. **滥用合法平台**：这款恶意应用盯上了OneSignal，这一在行业内被广泛用于推送通知的合法客户参与平台，竟被DONOT组织“劫持”来发送钓鱼链接。这一手法堪称巧妙，也是DONOT组织在恶意软件操作中首次运用此类工具，极大地增加了攻击的隐蔽性和欺骗性。

2. **广泛的数据获取权限**：一旦安装，该应用便迫不及待地索要各种敏感权限。它试图读取用户的通话记录，从而知晓用户的通话对象、时长等信息；拦截短信，任何私密信息都可能被其尽收眼底；获取精准位置信息，能够实时追踪用户的行动轨迹；甚至对设备的外部存储拥有访问权，可随意探索、修改和转移文件。不仅如此，它还具备屏幕录制功能，用户输入的密码等敏感信息，也极有可能被其捕获。收集到的数据通过Appspot域名被发送至指挥与控制（C2）服务器，这些服务器就如同恶意组织的“情报中枢”，源源不断地接收着从受害者设备上窃取来的信息。

3. **攻击范围与目标**：Cyfirma发出警告，DONOT组织的活动范围远远超出了印度国内，其触角已伸向整个南亚地区的众多组织。从电信、金融到政府机构，都有可能成为其攻击的目标。该组织凭借不断演变的技术手段，在网络空间中持续拓展势力，试图获取更多具有战略价值的情报。

恶意应用相关信息

研究人员在追踪过程中，还发现了与这些恶意软件相关的多个关键信息。如C2域名toolgpt[.]buzz，以及子域名Solarradiationneutron[.]appspot[.]com。此外，该恶意软件的SHA-256哈希值为8689D59AAC223219E0FDB7886BE289A9536817EB6711089B5DD099A1E580F8E4，这些信息对于安全人员识别和拦截该恶意软件至关重要。

谷歌的回应

1月21日，谷歌发言人针对此事向Infosecurity回应：“根据我们目前的检测，谷歌应用商店中未发现包含此恶意软件的应用。搭载谷歌服务的安卓设备默认开启谷歌Play Protect功能，可自动保护用户免受已知版本恶意软件的侵害。即便应用来自谷歌应用商店之外，谷歌Play Protect也能对表现出恶意行为的应用发出警告或予以拦截。”

DONOT组织利用恶意应用进行情报收集的行为，给我们敲响了警钟。在这个数字化时代，网络安全威胁无处不在，个人和组织都需时刻保持警惕。无论是普通用户还是企业机构，都应加强对各类应用的审核和权限管理，安装可靠的安全防护软件，提高自身的网络安全意识。唯有如此，我们才能在这场没有硝烟的网络战争中，更好地保护自己的隐私和信息安全。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！印度APT组织DONOT借伪装应用大肆搜集情报