该恶意软件归因于臭名昭著的“DONOT”APT组织,具有印度国家背景。而“Tanzeem”在乌尔都语中意为“组织”,是一个经常与该地区的恐怖组织和执法机构联系在一起的术语。Cyfirma 的分析师指出,这种命名表明该恶意软件旨在针对印度境内外的特定个人或团体。
应用程序的登录页面
Cyfirma发现,该恶意软件利用了流行的客户参与平台 OneSignal,通过推送网络钓鱼链接进行传播。
技术分析显示,伪装成“Tanzeem”的恶意软件在安装后就停止运行,但背后已经请求了多项敏感权限,包括访问通话记录、联系人、短信、文件存储和精确位置数据。它还试图提取用于登录各种互联网平台的电子邮件和用户名权限。
恶意软件采用了复杂的规避技术,包括在 APK 中隐藏恶意代码的混淆技术。它可以枚举文件和目录、捕获键盘输入、收集系统信息,甚至记录设备屏幕。
DONOT APT 组织一直以南亚的政府和军事组织为目标。最近的这次行动表明,他们的战术在不断演变,并持续关注该地区。
网络安全专家警告说,该组织可能会继续改进其攻击方法,以保持未来攻击的持久性。建议用户在安装新应用程序时谨慎行事,尤其是那些要求大量权限的应用程序。
