Jan 20, 2025Ravie LakshmananAndroid / Malware Mwigizaji Tishio anayejulikana kama DoNot Team amehusishwa na programu hasidi mpya ya Android kama sehemu ya mashambulizi ya mtandao yanayolengwa sana. Vielelezo vinavyohusika, vilivyopewa jina la Tanzeem (maana yake “shirika” kwa Kiurdu) na Sasisho la Tanzeem, vilionwa mnamo Oktoba na Desemba 2024 na kampuni ya usalama wa mtandao ya Cyfirma. Programu zinazohusika zimepatikana kujumuisha utendakazi sawa, kuzuia marekebisho madogo kwenye kiolesura cha mtumiaji. “Ingawa programu inapaswa kufanya kazi kama programu ya gumzo, haifanyi kazi mara tu ikiwa imesakinishwa, kuzima baada ya ruhusa zinazohitajika kutolewa,” Cyfirma alibainisha katika uchanganuzi wa Ijumaa. “Jina la programu linapendekeza kuwa imeundwa kulenga watu binafsi au vikundi maalum ndani na nje ya nchi.” Timu ya DoNot, inayofuatiliwa pia kama APT-C-35, Origami Elephant, SECTOR02, na Viceroy Tiger, ni kikundi cha wadukuzi kinachoaminika kuwa na asili ya India, na mashambulizi ya kihistoria yakitumia barua pepe za wizi wa mikuki na familia zisizo za Android ili kukusanya taarifa zinazowavutia. Mnamo Oktoba 2023, mwigizaji tishio alihusishwa na mlango wa nyuma wa .NET uitwao Firebird ambao ulikuwa ukilenga watu wachache nchini Pakistan na Afghanistan. Kwa sasa haijabainika ni akina nani hasa walengwa wa programu hasidi za hivi punde, ingawa inashukiwa kuwa zilitumiwa dhidi ya watu mahususi kwa lengo la kukusanya mikusanyiko ya kijasusi dhidi ya vitisho vya ndani. Kipengele muhimu cha programu hasidi ya Android ni matumizi ya OneSignal, jukwaa maarufu la ushirikishaji wateja linalotumiwa na mashirika kutuma arifa zinazotumwa na programu hata wakati huitumii, ujumbe wa ndani ya programu, barua pepe na jumbe za SMS. Cyfirma alitoa nadharia kuwa maktaba inatumiwa vibaya kutuma arifa zilizo na viungo vya kuhadaa ili kupata programu hasidi. Bila kujali utaratibu wa usambazaji unaotumika, programu huonyesha skrini ya gumzo ghushi inaposakinishwa na kumhimiza mwathiriwa kubofya kitufe kinachoitwa “Anzisha Gumzo.” Kufanya hivyo huibua ujumbe unaomwagiza mtumiaji kupata ruhusa kwa API ya huduma za ufikivu, hivyo kuiruhusu kutekeleza vitendo mbalimbali viovu. Programu pia huomba ufikiaji wa ruhusa kadhaa nyeti ambazo hurahisisha mkusanyiko wa kumbukumbu za simu, anwani, ujumbe wa SMS, maeneo mahususi, maelezo ya akaunti na faili zilizopo kwenye hifadhi ya nje. Baadhi ya vipengele vingine ni pamoja na kunasa rekodi za skrini na kuanzisha miunganisho kwenye seva ya amri-na-kudhibiti (C2). “Sampuli zilizokusanywa zinaonyesha mbinu mpya inayojumuisha arifa zinazotumwa na programu hata wakati huitumii zinazowahimiza watumiaji kusakinisha programu hasidi ya Android, na hivyo kuhakikisha uendelevu wa programu hasidi kwenye kifaa,” Cyfirma alisema. “Mbinu hii huongeza uwezo wa programu hasidi kusalia amilifu kwenye kifaa kinacholengwa, ikionyesha nia ya kundi tishio inayoendelea ya kuendelea kushiriki katika kukusanya taarifa za kijasusi kwa maslahi ya taifa.” Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply