Tanzeem モバイル マルウェア: 秘密の情報収集ツール

Tanzeem モバイル マルウェアは、既知のハッキング グループの武器庫にある高度なツールとして登場しました。高度な持続的脅威 (APT) グループである DoNot Team と関連しているこのマルウェアは、Android デバイスを通じて特定のターゲットに侵入しようとする計画的な試みです。その活動は不明ですが、Tanzeem の目的、設計、および潜在的な影響を理解することは、サイバー セキュリティの意識を高めるために重要です。

Tanzeem モバイル マルウェアとは何ですか?

Tanzeem はウルドゥー語で「組織」を意味し、チャット アプリを装った Android アプリケーションを指します。2024 年後半にサイバー セキュリティ研究者によって初めて検出されたこのマルウェアには、オリジナルの Tanzeem と Tanzeem Update として知られる更新バージョンの 2 つの亜種があります。どちらの亜種も機能はほぼ同じで、インターフェイスのデザインがわずかに異なるだけです。

本物のチャット アプリケーションとは異なり、Tanzeem は通信サービスを提供しません。代わりに、ユーザーが特定の権限を付与した後、インストール直後に機能しなくなります。これは、アプリケーションの主な目的がユーザーとのやり取りではなく、秘密裏にデータを抽出して監視することであることを示しています。

Tanzeem の背後にあるグループ: DoNot チーム

このマルウェアは DoNot Team によるものとされ、APT-C-35、Origami Elephant、SECTOR02、Viceroy Tiger などの別名でも追跡されています。このグループはインドを拠点としていると考えられており、標的型サイバー攻撃を展開した経歴があります。以前、このグループはスピアフィッシング メールやその他の Android ベースの脅威を利用して、パキスタンやアフガニスタンなどの戦略的関心のある地域で情報を収集していました。

彼らの戦術は、知名度の高い人物や機密性の高い人物をターゲットにした情報収集に重点を置いていることを示唆している。Tanzeem の標的となる特定の個人やグループは未だ特定されていないが、マルウェアの構造から、特定の利益に対する脅威とみなされる個人を監視し、データを収集するために使用されていることがうかがえる。

Tanzeemの運営方法

Tanzeem は、Android デバイスに足場を築くために多層的な戦略を採用しています。インストールすると、アプリはユーザーに「チャット」セッションを開始するよう促します。「チャットを開始」ボタンをクリックすると、Android のアクセシビリティ サービス (非常に機密性の高いシステム機能) へのアクセスを許可するようユーザーに指示する通知が生成されます。この許可により、マルウェアは表面的な目的をはるかに超えたさまざまなアクションを実行できます。

Tanzeem は運用を開始すると、次のような一連の機密情報へのアクセスを要求します。

• 通話記録と連絡先リスト
• SMSメッセージとアカウント認証情報
• 正確な位置情報データ
• 外部ストレージファイル

また、画面を記録したり、収集したデータを転送するコマンド アンド コントロール (C2) サーバーと通信したりすることもできます。さらに、このマルウェアは正規のサービスである OneSignal を悪用してフィッシング リンクを送信し、マルウェアのさらなる展開につながる可能性があります。これにより、脅威の持続性が確保され、運用範囲が拡大します。

Tanzeem は何を達成しようとしているのでしょうか?

Tanzeem の主な目的は情報収集のようです。侵入したデバイスにより、オペレーターは通信を監視し、個人データにアクセスし、動きを追跡できます。これらの機能はスパイ活動の動機と一致しており、認識された脅威を無力化したり、国家の利益にとって価値のある情報を入手したりすることを目的としている可能性があります。

注目すべきは、このマルウェアは、プッシュ通知を使用して被害者にさらに有害なアプリケーションをインストールさせるなど、革新的な戦術も採用している点です。この配信メカニズムの進化は、Tanzeem の背後にいるグループの高度化と、侵害されたシステムへのアクセスを維持しようとする彼らの決意を反映しています。

Tanzeem モバイル マルウェアの影響

Tanzeem の脅威は重大ですが、警戒に屈することなく、その影響について理解することが重要です。このマルウェアは、大規模にではなく、限られた数のデバイスで密かに動作するように設計された標的型ツールです。この特殊性により、脅威アクターの関心範囲内にいない限り、一般ユーザーがこのマルウェアに遭遇する可能性は低くなります。

しかし、Tanzeem の存在は、モバイル デバイスの脆弱性と、高度な脅威グループがそれを悪用するためにどれほどの手段を講じるかという、より広範な懸念を浮き彫りにしています。攻撃チェーンの一部として OneSignal のような合法的なプラットフォームが使用されていることは、一見無害なサービスとやり取りする場合でも警戒が必要であることを強調しています。

情報を入手し、安全を確保する

Tanzeem のような脅威を理解することは、デジタル セキュリティを維持するための第一歩です。ユーザーは、特に機密データやシステム機能へのアクセスを要求するアプリケーションに権限を付与する際には、慎重に行う必要があります。さらに、サイバー スパイ グループが関心を持つ地域の組織や個人は、エンドポイント保護やインストール済みアプリケーションの定期的な監査など、強力なセキュリティ対策を実施する必要があります。

Tanzeem の発見は、アプリのソースを精査することの重要性を改めて思い起こさせます。信頼できるプラットフォームに固執し、サイドロードされたアプリケーションを避けることで、このような脅威にさらされるリスクを軽減できます。

最後に

Tanzeem モバイル マルウェアは、今日の相互接続された世界におけるサイバー脅威の進化を象徴しています。標的を絞った計算された情報収集アプローチは、作成者の創意工夫を明らかにし、このような進歩に対して警戒を怠らないことの重要性を強調しています。意識を高め、健全なサイバーセキュリティ プラクティスを採用することで、ユーザーも組織もリスクを軽減し、デジタル環境を保護することができます。