Recent, echipa de cercetare de la CYFIRMA a descoperit un eșantion de malware Android atribuit grupului APT indian cunoscut sub numele de “DONOT”. Acest grup pare să servească intereselor naționale indiene și utilizează o aplicație numită “Tanzeem” pentru colectarea de informații împotriva amenințărilor interne.
Aplicația Tanzeem
Aplicația “Tanzeem” se prezintă ca o aplicație de chat, dar odată instalată, se închide după acordarea permisiunilor necesare. Aceasta sugerează că aplicația este concepută pentru a viza anumite persoane sau grupuri. Aplicația solicită permisiuni periculoase, cum ar fi accesul la jurnalul de apeluri, contactele, stocarea externă și locația precisă.
Tehnici Utilizate
Aplicația utilizează biblioteca OneSignal pentru a trimite notificări push care conțin link-uri de phishing. Aceasta este prima dată când grupul APT “DONOT” folosește această tehnică.
Permisiuni Periculoase
Mai jos sunt câteva dintre permisiunile periculoase pe care aplicația le solicită:
- READ_CALL_LOG: Permite actorilor de amenințare să citească și să obțină jurnalele de apeluri.
- READ_CONTACTS: Permite citirea și obținerea contactelor.
- READ_EXTERNAL_STORAGE: Permite explorarea și obținerea datelor din managerul de fișiere.
- WRITE_EXTERNAL_STORAGE: Permite ștergerea și mutarea fișierelor.
- READ_SMS: Permite citirea și ștergerea mesajelor SMS.
- STORAGE: Permite accesul la stocarea internă a dispozitivului.
- ACCESS_FINE_LOCATION: Permite extragerea locației precise și monitorizarea mișcărilor dispozitivului.
- GET_ACCOUNTS: Permite extragerea e-mailurilor și numelor de utilizator folosite pentru autentificare pe diverse platforme.
Concluzie
Grupul APT “DONOT” continuă să evolueze și să își modifice tacticile pentru a menține persistența în atacurile cibernetice. Utilizarea aplicației “Tanzeem” și a bibliotecii OneSignal demonstrează eforturile lor constante de a colecta informații și de a sprijini interesele naționale indiene.
