研究人员将名为“DoNot Team”的威胁行为体与一种新型安卓恶意软件联系起来,该软件被用于高度针对性的网络攻击。CYFIRMA研究人员将最近发现的一种安卓恶意软件与印度APT组织“DoNot Team”相关联。
自2016年以来一直活跃的“Donot Team”(又称APT-C-35和Origami Elephant)专注于印度、巴基斯坦、斯里兰卡、孟加拉国以及其他南亚国家的政府、军事组织、外交部和大使馆。
CYFIRMA分别在2024年10月和12月发现了名为“Tanzeem”和“Tanzeem Update”(在乌尔都语中意为“组织”)的恶意软件。这两个恶意软件共享相同的代码,用户界面略有差异。
“Tanzeem”应用模仿聊天功能,并提示用户启用无障碍访问。不同变种在颜色等方面存在细微差异。
研究人员观察到,“DoNot”APT组织滥用OneSignal平台,该平台通常提供用于发送推送通知、应用内消息、电子邮件和短信的工具,这些工具在移动和Web应用中广泛应用。在本案中,该组织利用OneSignal通过通知发送钓鱼链接。这一战术代表了该组织方法的新发展,因为这是他们首次被观察到利用OneSignal进行此类活动。
该应用在获得权限后关闭,其名称暗示其目标是针对国内外特定个人或群体。
CYFIRMA发布的报告称:“点击‘开始聊天’后,会弹出一个消息,要求用户为‘Tanzeem’应用开启无障碍访问。然后,用户会被引导至无障碍设置页面。”
该应用能够收集通话记录、联系人、短信、精确位置、账户信息和存储在外部存储中的文件。恶意代码还可以录制屏幕。
“DONOT”APT组织针对南亚组织进行针对印度的战略情报收集,利用推送通知安装持久的安卓恶意软件,这表明其战术不断发展且行动仍在继续。
报告总结道:“网络安全界深知‘DONOT’组织正积极针对南亚地区的组织和个人。该组织在其安卓恶意软件中持续使用类似技术。”报告还包括妥协指标(IoCs)。“最近,我们观察到他们在最新攻击中使用了OneSignal,这进一步证明了他们为保持持久性所做的努力。随着该组织不断发展,我们可以预期其战术将进一步修改,旨在增强其在未来利用安卓恶意软件进行网络攻击时保持持久性的能力。”