{"id":21610,"date":"2025-01-21T18:03:44","date_gmt":"2025-01-21T21:03:44","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21610"},"modified":"2025-01-21T18:03:45","modified_gmt":"2025-01-21T21:03:45","slug":"malware-android-tanzeem","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/01\/exploits\/malware-android-tanzeem\/","title":{"rendered":"Malware Android Tanzeem"},"content":{"rendered":"\n<p data-pm-slice=\"1 1 []\"><strong>DoNot Team e o novo malware android Tanzeem: Uma amea\u00e7a \u00e0 coleta de informa\u00e7\u00f5es<\/strong><\/p>\n<p style=\"text-align: justify;\" data-pm-slice=\"1 1 []\">O grupo de amea\u00e7as conhecido como DoNot Team, tamb\u00e9m identificado como APT-C-35, Origami Elephant, SECTOR02 e Viceroy Tiger, foi recentemente vinculado a um novo malware Android como parte de ataques cibern\u00e9ticos altamente direcionados. Denominado Tanzeem (que significa &#8220;organiza\u00e7\u00e3o&#8221; em urdu) e Tanzeem Update, o malware foi detectado em outubro e dezembro de 2024 pela empresa de ciberseguran\u00e7a Cyfirma.<\/p>\n<p data-pm-slice=\"1 1 []\">\u00a0<\/p>\n<p data-pm-slice=\"1 3 []\"><strong>Como o malware Tanzeem opera?<\/strong><\/p>\n<p style=\"text-align: justify;\">Os aplicativos identificados como Tanzeem e Tanzeem Update apresentam funcionalidades id\u00eanticas, com pequenas modifica\u00e7\u00f5es na interface do usu\u00e1rio. Apesar de serem apresentados como aplicativos de bate-papo, eles n\u00e3o funcionam como o esperado. Uma vez instalados, os apps encerram suas atividades ap\u00f3s a concess\u00e3o das permiss\u00f5es necess\u00e1rias, sugerindo que seu objetivo \u00e9 direcionado a indiv\u00edduos ou grupos espec\u00edficos.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Principais caracter\u00edsticas do malware:<\/strong><\/p>\n<ul data-spread=\"false\">\n<li>\n<p><strong>Uso de notifica\u00e7\u00f5es push<\/strong>: O Tanzeem utiliza a plataforma OneSignal para enviar notifica\u00e7\u00f5es push contendo links de phishing, que levam \u00e0 implanta\u00e7\u00e3o de malware adicional.<\/p>\n<\/li>\n<li>\n<p><strong>Permiss\u00f5es sens\u00edveis<\/strong>: O app solicita permiss\u00f5es para:<\/p>\n<ul data-spread=\"false\">\n<li>\n<p>Logs de chamadas.<\/p>\n<\/li>\n<li>\n<p>Contatos.<\/p>\n<\/li>\n<li>\n<p>Mensagens SMS.<\/p>\n<\/li>\n<li>\n<p>Localiza\u00e7\u00e3o precisa.<\/p>\n<\/li>\n<li>\n<p>Informa\u00e7\u00f5es de contas.<\/p>\n<\/li>\n<li>\n<p>Arquivos armazenados no dispositivo.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Acesso aos servi\u00e7os de acessibilidade<\/strong>: Ap\u00f3s enganar os usu\u00e1rios a clicarem em &#8220;Iniciar Chat&#8221;, o app solicita permiss\u00f5es aos servi\u00e7os de acessibilidade, permitindo a execu\u00e7\u00e3o de a\u00e7\u00f5es maliciosas.<\/p>\n<\/li>\n<li>\n<p style=\"text-align: justify;\"><strong>Grava\u00e7\u00e3o de tela e conex\u00e3o com servidores C2<\/strong>: O malware pode capturar grava\u00e7\u00f5es de tela e estabelecer conex\u00f5es com servidores de comando e controle (C2).<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p data-pm-slice=\"1 1 []\"><strong>Contexto e hist\u00f3rico do DoNot Team<\/strong><\/p>\n<p style=\"text-align: justify;\">De origem indiana, o DoNot Team \u00e9 conhecido por ataques que utilizam e-mails de spear-phishing e fam\u00edlias de malware Android para coletar informa\u00e7\u00f5es de interesse. Em outubro de 2023, o grupo foi associado a um backdoor in\u00e9dito baseado em .NET chamado Firebird, que tinha como alvos v\u00edtimas localizadas no Paquist\u00e3o e no Afeganist\u00e3o.<\/p>\n<p style=\"text-align: justify;\">O objetivo do Tanzeem parece ser a coleta de informa\u00e7\u00f5es para neutralizar amea\u00e7as internas. Ainda n\u00e3o est\u00e1 claro quem s\u00e3o os alvos exatos, mas as evid\u00eancias apontam para indiv\u00edduos espec\u00edficos que podem possuir dados sens\u00edveis de interesse nacional.<\/p>\n<p>\u00a0<\/p>\n<p data-pm-slice=\"1 1 []\"><strong>Como proteger dispositivos contra o Tanzeem e malware similar<\/strong><\/p>\n<p>Para se proteger contra amea\u00e7as cibern\u00e9ticas como o Tanzeem, recomenda-se as seguintes pr\u00e1ticas:<\/p>\n<ul data-spread=\"true\">\n<li>\n<p><strong>Evitar apps de fontes n\u00e3o confi\u00e1veis<\/strong>: Instale apenas aplicativos de lojas oficiais, como a Google Play Store.<\/p>\n<\/li>\n<li>\n<p><strong>Revise permiss\u00f5es de apps<\/strong>: Antes de conceder permiss\u00f5es, analise se elas s\u00e3o compat\u00edveis com a funcionalidade prometida pelo app.<\/p>\n<\/li>\n<li>\n<p><strong>Use antiv\u00edrus reputados<\/strong>: Ferramentas de seguran\u00e7a podem detectar comportamentos maliciosos em apps instalados.<\/p>\n<\/li>\n<li>\n<p><strong>Eduque-se sobre phishing<\/strong>: Links recebidos por notifica\u00e7\u00f5es ou SMS devem ser tratados com cautela.<\/p>\n<\/li>\n<li>\n<p><strong>Mantenha o sistema atualizado<\/strong>: Atualiza\u00e7\u00f5es de software corrigem vulnerabilidades exploradas por malwares.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de script para monitorar permiss\u00f5es de apps no Android:<\/strong><\/p>\n<p style=\"text-align: justify;\">Voc\u00ea pode usar um script em Python com o ADB (Android Debug Bridge) para listar permiss\u00f5es sens\u00edveis solicitadas por apps instalados:<\/p>\n<p>\u00a0<\/p>\n<p><\/p>\n<pre><strong>import os<\/strong><br \/><br \/><strong>def listar_permissoes():<\/strong><br \/><strong>print(\"Listando permiss\u00f5es de aplicativos instalados\u2026\")<\/strong><br \/><strong>apps = os.popen(\"adb shell pm list packages\").read().splitlines()<\/strong><br \/><strong> <\/strong><br \/><strong><code>for app in apps:\n    pacote = app.split(\":\")[-1]\n    print(f\"\\nPermiss\u00f5es do app {pacote}:\")\n    permissoes = os.popen(f\"adb shell dumpsys package {pacote} | grep permission\").read()\n    print(permissoes)<\/code><\/strong><br \/><br \/><strong>if name == \"main\":<\/strong><br \/><strong>listar_permissoes()<br \/><br \/><br \/><\/strong><\/pre>\n<p style=\"text-align: justify;\" data-pm-slice=\"1 1 []\">Esse script exige que o ADB esteja configurado e conectado a um dispositivo Android. Ele exibe uma lista de permiss\u00f5es solicitadas por cada app instalado.<\/p>\n<p data-pm-slice=\"1 1 []\">\u00a0<\/p>\n<p data-pm-slice=\"1 1 []\"><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O surgimento do malware Tanzeem demonstra como grupos de amea\u00e7as continuam a evoluir para atingir seus objetivos. A utiliza\u00e7\u00e3o de notifica\u00e7\u00f5es push e a solicita\u00e7\u00e3o de permiss\u00f5es cr\u00edticas indicam um avan\u00e7o nas t\u00e9cnicas de coleta de informa\u00e7\u00f5es.<\/p>\n<p style=\"text-align: justify;\">Usu\u00e1rios e organiza\u00e7\u00f5es devem adotar boas pr\u00e1ticas de seguran\u00e7a, como evitar apps suspeitos, revisar permiss\u00f5es e manter dispositivos atualizados, para minimizar os riscos.<\/p>\n<p style=\"text-align: justify;\">A prote\u00e7\u00e3o contra amea\u00e7as digitais \u00e9 uma responsabilidade coletiva que exige vigil\u00e2ncia e colabora\u00e7\u00e3o constante.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2025\/01\/donot-team-linked-to-new-tanzeem.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2025\/01\/donot-team-linked-to-new-tanzeem.html<\/a><\/p>\n<pre><strong>\u00a0<\/strong><\/pre>\n<p><\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p data-pm-slice=\"1 1 []\">\u00a0<\/p>\n<!-- \/wp:post-content -->\n\n<!-- wp:tadv\/classic-paragraph \/-->","protected":false},"excerpt":{"rendered":"<p>DoNot Team e o novo malware android Tanzeem: Uma amea\u00e7a \u00e0 coleta de informa\u00e7\u00f5es O grupo de amea\u00e7as conhecido como DoNot Team, tamb\u00e9m identificado como APT-C-35, Origami Elephant, SECTOR02 e Viceroy Tiger, foi recentemente vinculado a um novo malware Android como parte de ataques cibern\u00e9ticos altamente direcionados. Denominado Tanzeem (que significa &#8220;organiza\u00e7\u00e3o&#8221; em urdu) e [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21616,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21610","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21610","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21610"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21610\/revisions"}],"predecessor-version":[{"id":21615,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21610\/revisions\/21615"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21616"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21610"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21610"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21610"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}