O ator de ameaças conhecido como DoNot Team foi vinculado a um novo malware Android como parte de ataques cibernéticos altamente direcionados.
Os artefatos em questão, nomeados Tanzeem (que significa "organização" em Urdu) e Tanzeem Update, foram identificados em outubro e dezembro de 2023 pela empresa de cibersegurança Cyfirma.
As aplicações em questão foram encontradas para incorporar funções idênticas, com exceção de pequenas modificações na interface do usuário.
"Embora a aplicação supostamente funcione como um aplicativo de chat, ela não funciona uma vez instalada, encerrando após as permissões necessárias serem concedidas", observou a Cyfirma em uma análise.
O nome do app sugere que ele é projetado para mirar em indivíduos ou grupos específicos tanto dentro quanto fora do país.
DoNot Team, também rastreado como APT-C-35, Origami Elephant, SECTOR02 e Viceroy Tiger, é um grupo de hackers acredita-se ser de origem indiana, com ataques históricos aproveitando e-mails de spear-phishing e famílias de malware Android para coletar informações de interesse.
Em outubro de 2023, o ator de ameaça foi vinculado a um backdoor baseado em .NET anteriormente não documentado chamado Firebird, visando um punhado de vítimas no Paquistão e no Afeganistão.
Atualmente, não está claro quem são os alvos exatos do malware mais recente, embora se suspeite que eles foram usados contra indivíduos específicos com o objetivo de coletar inteligência contra ameaças internas.
Um aspecto notável do aplicativo Android malicioso é o uso do OneSignal, uma plataforma popular de engajamento de clientes usada por organizações para enviar notificações push, mensagens no aplicativo, e-mails e mensagens SMS.
A Cyfirma teorizou que a biblioteca está sendo abusada para enviar notificações contendo links de phishing que levam à implantação de malware.
Independentemente do mecanismo de distribuição utilizado, o app exibe uma tela de chat falsa após a instalação e insta a vítima a clicar em um botão chamado "Iniciar Chat".
Ao fazer isso, é acionada uma mensagem que instrui o usuário a conceder permissões aos serviços de acessibilidade da API, permitindo assim que ele execute várias ações nefastas.
O app também solicita acesso a várias permissões sensíveis que facilitam a coleta de registros de chamadas, contatos, mensagens SMS, localizações precisas, informações de contas e arquivos presentes no armazenamento externo.
Algumas das outras funcionalidades incluem capturar gravações de tela e estabelecer conexões com um servidor de comando e controle (C2).
"As amostras coletadas revelam uma nova tática envolvendo notificações push que incentivam os usuários a instalar malware Android adicional, garantindo a persistência do malware no dispositivo", disse a Cyfirma.
Essa tática realça a capacidade do malware permanecer ativo no dispositivo alvo, indicando as intenções em evolução do grupo de ameaças de continuar participando na coleta de inteligência para interesses nacionais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...