摘要：涉案软件名为 Tanzeem（乌尔都语中意为“组织”）和 Tanzeem Update，于 2024 年 10 月和 12 月被网络安全公司 Cyfirma 发现。经发现，这两个应用程序包含相同的功能，但用户界面略有改动。

名为DoNot Team 的威胁组织被发现与一种新的 Android 恶意软件有关，这是高度针对性的网络攻击的一部分。

涉案软件名为 Tanzeem（乌尔都语中意为“组织”）和 Tanzeem Update，于 2024 年 10 月和 12 月被网络安全公司 Cyfirma 发现。经发现，这两个应用程序包含相同的功能，但用户界面略有改动。

Cyfirma 在周五的分析中指出： “尽管这款应用应该作为聊天应用运行，但安装后无法使用，在获得必要的权限后就会关闭。这款应用的名称表明，它旨在针对国内外的特定个人或群体。”

DoNot 团队，也被追踪为 APT-C-35、Origami Elephant、SECTOR02 和 Viceroy Tiger，是一个据信来自印度的黑客组织，其历史攻击利用鱼叉式网络钓鱼电子邮件和Android 恶意软件家族来收集感兴趣的信息。

2023 年 10 月，威胁组织与之前未记录的基于 .NET 的后门Firebird有关，该后门针对巴基斯坦和阿富汗的少数受害者。

目前尚不清楚最新恶意软件的具体目标是谁，但人们怀疑它们是针对特定个人使用的，目的是收集针对内部威胁的情报。

这款恶意 Android 应用程序的一个显著特点是使用了 OneSignal，这是一个流行的客户互动平台，组织使用它来发送推送通知、应用内消息、电子邮件和短信。Cyfirma 推测，该库被滥用来发送包含网络钓鱼链接的通知，这些链接会导致恶意软件部署。

无论使用哪种分发机制，该应用程序都会在安装时显示一个虚假的聊天屏幕，并敦促受害者点击名为“开始聊天”的按钮。这样做会触发一条消息，指示用户获取可访问性服务 API 的权限，从而允许其执行各种恶意操作。

该应用还请求访问多个敏感权限，以便收集通话记录、联系人、短信、精确位置、帐户信息和外部存储中的文件。其他一些功能包括捕获屏幕录像和与命令和控制 (C2) 服务器建立连接。

Cyfirma 表示：“收集到的样本揭示了一种新策略，涉及推送通知，鼓励用户安装额外的 Android 恶意软件，确保恶意软件在设备上的持久性。”

“这种策略增强了恶意软件在目标设备上保持活跃的能力，表明该威胁组织继续参与国家利益情报收集的意图不断演变。”

技术报告：

新闻链接：

来源：会杀毒的单反狗