Malware Android Tanzeem

Postado por Gerson Raymond em jan 21, 2025 em BÁSICO, DIVERSOS, EXPLORANDO, NOTÍCIAS |

Comentários desativados

DoNot Team e o novo malware android Tanzeem: Uma ameaça à coleta de informações

O grupo de ameaças conhecido como DoNot Team, também identificado como APT-C-35, Origami Elephant, SECTOR02 e Viceroy Tiger, foi recentemente vinculado a um novo malware Android como parte de ataques cibernéticos altamente direcionados. Denominado Tanzeem (que significa “organização” em urdu) e Tanzeem Update, o malware foi detectado em outubro e dezembro de 2024 pela empresa de cibersegurança Cyfirma.

Como o malware Tanzeem opera?

Os aplicativos identificados como Tanzeem e Tanzeem Update apresentam funcionalidades idênticas, com pequenas modificações na interface do usuário. Apesar de serem apresentados como aplicativos de bate-papo, eles não funcionam como o esperado. Uma vez instalados, os apps encerram suas atividades após a concessão das permissões necessárias, sugerindo que seu objetivo é direcionado a indivíduos ou grupos específicos.

Principais características do malware:

Uso de notificações push: O Tanzeem utiliza a plataforma OneSignal para enviar notificações push contendo links de phishing, que levam à implantação de malware adicional.
Permissões sensíveis: O app solicita permissões para:
- Logs de chamadas.
- Contatos.
- Mensagens SMS.
- Localização precisa.
- Informações de contas.
- Arquivos armazenados no dispositivo.
Acesso aos serviços de acessibilidade: Após enganar os usuários a clicarem em “Iniciar Chat”, o app solicita permissões aos serviços de acessibilidade, permitindo a execução de ações maliciosas.
Gravação de tela e conexão com servidores C2: O malware pode capturar gravações de tela e estabelecer conexões com servidores de comando e controle (C2).

Contexto e histórico do DoNot Team

De origem indiana, o DoNot Team é conhecido por ataques que utilizam e-mails de spear-phishing e famílias de malware Android para coletar informações de interesse. Em outubro de 2023, o grupo foi associado a um backdoor inédito baseado em .NET chamado Firebird, que tinha como alvos vítimas localizadas no Paquistão e no Afeganistão.

O objetivo do Tanzeem parece ser a coleta de informações para neutralizar ameaças internas. Ainda não está claro quem são os alvos exatos, mas as evidências apontam para indivíduos específicos que podem possuir dados sensíveis de interesse nacional.

Como proteger dispositivos contra o Tanzeem e malware similar

Para se proteger contra ameaças cibernéticas como o Tanzeem, recomenda-se as seguintes práticas:

Evitar apps de fontes não confiáveis: Instale apenas aplicativos de lojas oficiais, como a Google Play Store.
Revise permissões de apps: Antes de conceder permissões, analise se elas são compatíveis com a funcionalidade prometida pelo app.
Use antivírus reputados: Ferramentas de segurança podem detectar comportamentos maliciosos em apps instalados.
Eduque-se sobre phishing: Links recebidos por notificações ou SMS devem ser tratados com cautela.
Mantenha o sistema atualizado: Atualizações de software corrigem vulnerabilidades exploradas por malwares.

Exemplo de script para monitorar permissões de apps no Android:

Você pode usar um script em Python com o ADB (Android Debug Bridge) para listar permissões sensíveis solicitadas por apps instalados:

import os

def listar_permissoes():
print("Listando permissões de aplicativos instalados…")
apps = os.popen("adb shell pm list packages").read().splitlines()
 
for app in apps:
    pacote = app.split(":")[-1]
    print(f"\nPermissões do app {pacote}:")
    permissoes = os.popen(f"adb shell dumpsys package {pacote} | grep permission").read()
    print(permissoes)

if name == "main":
listar_permissoes()

Esse script exige que o ADB esteja configurado e conectado a um dispositivo Android. Ele exibe uma lista de permissões solicitadas por cada app instalado.

Conclusão

O surgimento do malware Tanzeem demonstra como grupos de ameaças continuam a evoluir para atingir seus objetivos. A utilização de notificações push e a solicitação de permissões críticas indicam um avanço nas técnicas de coleta de informações.

Usuários e organizações devem adotar boas práticas de segurança, como evitar apps suspeitos, revisar permissões e manter dispositivos atualizados, para minimizar os riscos.

A proteção contra ameaças digitais é uma responsabilidade coletiva que exige vigilância e colaboração constante.

Fonte e imagens: https://thehackernews.com/2025/01/donot-team-linked-to-new-tanzeem.html