
Aktor Ancaman yang dikenal sebagai Tim Jangan telah dikaitkan dengan malware Android baru sebagai bagian dari serangan cyber yang sangat bertarget.
Artefak yang dimaksud, bernama Tanzeem (berarti “organisasi” dalam bahasa Urdu) dan Tanzeem Update, ditemukan pada bulan Oktober dan Desember 2024 oleh perusahaan keamanan siber Cyfirma. Aplikasi yang dipermasalahkan ternyata menggabungkan fungsi yang identik, kecuali ada sedikit modifikasi pada antarmuka pengguna.
“Meskipun aplikasi ini seharusnya berfungsi sebagai aplikasi obrolan, aplikasi tersebut tidak berfungsi setelah diinstal, dan akan ditutup setelah izin yang diperlukan diberikan,” kata Cyfirma dalam analisisnya pada hari Jumat. “Nama aplikasi ini menunjukkan bahwa aplikasi ini dirancang untuk menargetkan individu atau kelompok tertentu baik di dalam maupun di luar negeri.”
DoNot Team, juga dilacak sebagai APT-C-35, Origami Elephant, SECTOR02, dan Viceroy Tiger, adalah kelompok peretas yang diyakini berasal dari India, dengan riwayat serangan yang memanfaatkan email spear-phishing dan keluarga malware Android untuk mengumpulkan informasi yang menarik.
Pada bulan Oktober 2023, pelaku ancaman dikaitkan dengan pintu belakang berbasis .NET yang sebelumnya tidak terdokumentasi bernama Firebird yang menargetkan segelintir korban di Pakistan dan Afghanistan.

Saat ini tidak jelas siapa target sebenarnya dari malware terbaru tersebut, meskipun diduga bahwa malware tersebut digunakan terhadap individu tertentu dengan tujuan mengumpulkan pengumpulan intelijen untuk melawan ancaman internal.
Aspek penting dari aplikasi Android berbahaya ini adalah penggunaan OneSignal, platform keterlibatan pelanggan populer yang digunakan oleh organisasi untuk mengirim pemberitahuan push, pesan dalam aplikasi, email, dan pesan SMS. Cyfirma berteori bahwa perpustakaan tersebut disalahgunakan untuk mengirimkan pemberitahuan yang berisi tautan phishing yang mengarah ke penyebaran malware.
Terlepas dari mekanisme distribusi yang digunakan, aplikasi menampilkan layar obrolan palsu saat instalasi dan mendesak korban untuk mengklik tombol bernama “Mulai Obrolan”. Melakukan hal itu akan memicu pesan yang menginstruksikan pengguna untuk memberikan izin ke API layanan aksesibilitas, sehingga memungkinkannya melakukan berbagai tindakan jahat.
Aplikasi ini juga meminta akses ke beberapa izin sensitif yang memfasilitasi pengumpulan log panggilan, kontak, pesan SMS, lokasi akurat, informasi akun, dan file yang ada di penyimpanan eksternal. Beberapa fitur lainnya termasuk menangkap rekaman layar dan membuat koneksi ke server perintah-dan-kontrol (C2).
“Sampel yang dikumpulkan mengungkapkan taktik baru yang melibatkan pemberitahuan push yang mendorong pengguna untuk memasang malware Android tambahan, memastikan keberlangsungan malware di perangkat,” kata Cyfirma.
“Taktik ini meningkatkan kemampuan malware untuk tetap aktif pada perangkat yang ditargetkan, menunjukkan niat kelompok ancaman yang terus berkembang untuk terus berpartisipasi dalam pengumpulan intelijen demi kepentingan nasional.”