Tambir - это бэкдор для Android, ориентированный на пользователей из Турции. Он маскируется под IPTV-приложение, но не проявляет никакой функциональности. Вместо этого он представляет собой полноценное шпионское приложение, которое собирает SMS-сообщения, нажатия клавиш и т. д.
При запуске приложение выводит на экран сообщение, в котором на турецком языке просит пользователя включить службу доступности. Получив все необходимые разрешения, приложение получает адрес C2 из публичного источника, например Telegram, ICQ или Twitter/X. Затем приложение меняет форму, меняя свою иконку на иконку YouTube.
Tambir поддерживает более 30 команд, которые он может получить от C2. Среди них - запуск и остановка кейлоггера, запуск указанного злоумышленником приложения, отправка SMS-сообщений, набор номера и так далее.
Kaspersky Lab обнаружили определенные сходства между Tambir и вредоносной программой GodFather. Они оба нацелены на пользователей в Турции и оба поддерживают Telegram для получения адреса C2-сервера. Однако Tambir обладает гораздо более богатым набором функций.
Indicators of Compromise
MD5
- 04807757a54ce0fbc8326ea8b11f8169
- 06148a2e5828e6844c2a1a74030d22b6
- 098dac0668497d9707045bc1e10ced93