Вредоносное приложение для Android, прикидывающееся чат-платформой, связано с индийской группой DONOT, которая занимается сбором разведывательной информации в Южной Азии.
DoNot APT
Приложение, известное как "Tanzeem" и "Tanzeem Update", направлено на конкретные лица и группы, возможно, связанные с террористическими организациями. После установки приложение запрашивает опасные разрешения и позволяет злоумышленникам получить доступ к конфиденциальным данным, таким как вызовы, SMS, местоположение и файлы. Приложение также может записывать экраны и перехватывать конфиденциальные данные, включая пароли. Интересно, что это первый случай использования группой DONOT легитимной платформы привлечения клиентов OneSignal для доставки фишинговых ссылок. Командно-контрольные серверы (C2) получают собранные данные через домены Appspot.
Эксперты предупреждают, что группа DONOT не ограничивается внутренним наблюдением, а направлена на организации в Южной Азии, используя новые методы для своей деятельности.
Indicators of Compromise
Domains
- saturn789454.appspot.com
- Solarradiationneutron.appspot.com
- toolgpt.buzz
- Updash.info
SHA256
- 8689d59aac223219e0fdb7886be289a9536817eb6711089b5dd099a1e580f8e4
- d512664df24b5f8a2b1211d240e3e767f5dd06809bb67afa367cdc06e2366aec