(https://i.imgur.com/CsJr5TA.png)
El grupo de ciberamenazas DoNot Team, también conocido como APT-C-35, Origami Elephant, SECTOR02 y Viceroy Tiger, ha sido vinculado a un nuevo malware para Android diseñado para realizar ataques altamente dirigidos.
Tanzeem y Tanzeem Update: Malware Avanzado para AndroidLos investigadores de Cyfirma, empresa especializada en ciberseguridad, detectaron en octubre y diciembre de 2024 dos aplicaciones maliciosas denominadas Tanzeem y Tanzeem Update. Estas aplicaciones presentan funcionalidades idénticas, con leves modificaciones en la interfaz de usuario.
Según el análisis de Cyfirma, aunque la aplicación simula ser una plataforma de chat, deja de funcionar inmediatamente después de que el usuario concede los permisos necesarios. El nombre "Tanzeem" sugiere que el malware está diseñado para atacar individuos o grupos específicos en distintos países.
Modus Operandi de DoNot TeamDoNot Team, un grupo de hackers presuntamente de origen indio, ha utilizado históricamente correos electrónicos de spear-phishing y diversas familias de malware para Android con el fin de recopilar información confidencial. En octubre de 2023, se vinculó a este actor de amenazas con Firebird, una puerta trasera basada en .NET utilizada para espiar a víctimas en Pakistán y Afganistán.
Aunque los objetivos exactos del nuevo malware aún no están claros, se sospecha que ha sido desplegado contra individuos específicos con el fin de recopilar inteligencia sobre amenazas internas.
OneSignal: Herramienta Legítima, Uso MaliciosoUn aspecto notable de este malware de Android es su uso de OneSignal, una plataforma legítima de notificaciones push utilizada por empresas para enviar mensajes automáticos, correos electrónicos y SMS. Cyfirma teorizó que los atacantes han abusado de esta biblioteca para distribuir enlaces de phishing, lo que facilita la propagación del malware.
Independientemente del método de distribución, la aplicación infectada muestra una interfaz de chat falsa e insta a la víctima a hacer clic en el botón "Iniciar chat". Al hacerlo, se activa un mensaje que solicita acceso a la API de servicios de accesibilidad, lo que permite al malware ejecutar diversas acciones maliciosas sin que el usuario lo note.
Permisos Explotados y Funcionalidades del MalwareEl malware Tanzeem y Tanzeem Update requieren permisos intrusivos para ejecutar sus funciones maliciosas, entre ellos:
- Acceso a registros de llamadas, contactos y mensajes SMS
- Ubicación en tiempo real del dispositivo
- Información de la cuenta del usuario
- Archivos almacenados en el dispositivo
- Captura de grabaciones de pantalla
- Conexión con servidores de comando y control (C2)
Además, los investigadores de Cyfirma han detectado que las muestras analizadas incluyen una nueva táctica basada en notificaciones push, diseñadas para engañar a los usuarios y lograr la instalación de malware adicional para Android, asegurando así su persistencia en el dispositivo.
En onclusión, este nuevo hallazgo refuerza la estrategia de DoNot Team de utilizar malware para Android con técnicas cada vez más avanzadas para el espionaje cibernético. La combinación de permisos intrusivos, abuso de OneSignal y el uso de servicios de accesibilidad demuestra la evolución de este grupo en el ámbito de la ciberseguridad ofensiva.
🔹 Recomendación: Para protegerse contra amenazas como Tanzeem, los usuarios deben evitar descargar aplicaciones de fuentes no verificadas, revisar los permisos solicitados y contar con una solución de seguridad móvil actualizada.
Fuente: https://thehackernews.com