Аналітики Cyfirma пов’язали новий малвар для Android з таргетованими атаками хакерської групи, відомої як DoNot Team (вона ж APT-C-35, Origami Elephant, SECTOR02 і Viceroy Tiger).

Виявлені дослідниками артефакти називалися Tanzeem (в перекладі з мови урду означає «організація») і Tanzeem Update. Ці додатки мають практично ідентичну функціональність, за винятком незначних відмінностей в користувальницькому інтерфейсі.

«Хоча додаток повинен функціонувати як чат, після установки він не працює, вимикаючись відразу після отримання необхідних дозволів, — розповідають експерти. — Назва додатка наводить на думку, що він призначений для атак на конкретних людей або групи як всередині країни, так і за її межами».

При встановленні додаток відображає фальшивий екран чату і пропонує жертві натиснути кнопку «Почати чат». При цьому з’являється повідомлення, в якому користувачеві пропонується дати додатку дозвіл на доступ до API Accessibility Services, що дозволить йому виконувати різні шкідливі дії.

Крім того, додаток запитує права, які дозволяють збирати дані журналів викликів, контакти, SMS-повідомлення, інформацію про точне місцезнаходження пристрою, облікові записи та файли, що знаходяться на зовнішніх носіях. Серед інших функцій експерти відзначають захоплення і запис екрану, а також встановлення з’єднань з керуючим сервером.

Відмінною особливістю нового малварі дослідники називають використання OneSignal — популярної платформи для залучення клієнтів, яка використовується організаціями для розсилки push-повідомлень, in-app повідомлень, електронних листів і SMS. У Cyfirma припустили, що в даному випадку бібліотека використовується для відправки повідомлень, що містять фішингові посилання, які ведуть до встановлення шкідливого ПЗ.

«Зібрані зразки демонструють нову тактику, пов’язану з push-повідомленнями, які спонукають користувачів встановлювати додаткові шкідливі програми для Android, забезпечуючи постійну присутність шкідливого ПЗ на пристрої, — роблять висновок в Cyfirma. — Така тактика покращує ефективність шкідливого ПЗ, дозволяючи йому далі залишатися активним на цільовому пристрої».