Głównym celem są instytucje rządowe
Celem DoNot Team są przede wszystkim instytucje rządowe, wojsko, ambasady oraz ministerstwa spraw zagranicznych. Grupa wykorzystuje złośliwe oprogramowanie przeznaczone na systemy Windows i Android, często podszywając się pod legalne aplikacje. Jednym z ich głównych sposobów działania jest tworzenie fałszywych komunikatorów, które po instalacji infekują urządzenia, umożliwiając dostęp do poufnych danych, takich jak wiadomości, kontakty, historia połączeń czy lokalizacja użytkownika.
W ostatnich latach DoNot Team znacząco poszerzył swój arsenał narzędzi, dodając funkcje takie jak nagrywanie połączeń VoIP czy przechwytywanie komunikacji z aplikacji społecznościowych. Wykorzystanie tych technologii pokazuje, że grupa nieustannie udoskonala swoje metody, dostosowując się do zmieniających się warunków i technologii. Co więcej, aplikacje tworzone przez DoNot Team coraz częściej trafiają do oficjalnych sklepów, takich jak Google Play. Choć obecnie nie są tam dostępne, ich wcześniejsza obecność znacząco zwiększyła skuteczność działań grupy, gdyż użytkownicy rzadziej podejrzewają zagrożenie pochodzące z zaufanych źródeł.
Najnowszym przykładem działań grupy są aplikacje „Tanzeem” i „Tanzeem Update.” Na pierwszy rzut oka prezentują się one jako narzędzia komunikacyjne, jednak po instalacji nie spełniają swojej deklarowanej funkcji. Po uzyskaniu niezbędnych uprawnień aplikacje te zamykają się, a ich prawdziwy cel ujawnia się dopiero w działaniu. Mają one na celu zbieranie danych od określonych grup lub osób, zarówno lokalnie, jak i międzynarodowo.
Jednym z ciekawszych elementów tych aplikacji jest wykorzystanie biblioteki OneSignal, która standardowo służy do wysyłania powiadomień push, wiadomości e-mail czy SMS-ów. W przypadku DoNot Team biblioteka ta została najprawdopodobniej użyta do rozsyłania powiadomień phishingowych zawierających złośliwe linki. To pierwszy raz, gdy ta technika została zaobserwowana w działaniach grupy, co świadczy o jej rozwijającym się wyrafinowaniu i umiejętności adaptacji do nowych technologii.
Jak działa szkodliwa aplikacja?
Działanie tych aplikacji jest przemyślane i zorientowane na zdobycie maksymalnie szerokiego dostępu do danych użytkownika. Proces rozpoczyna się od instalacji, po której użytkownik widzi ekran powitalny oznaczony jako „Tanzeem App.” Następnie aplikacja przekierowuje go do rzekomej funkcji czatu, która w rzeczywistości służy jedynie jako przykrywka. Po kliknięciu opcji rozpoczęcia czatu użytkownik zostaje poproszony o nadanie aplikacji dostępu do usług ułatwień dostępu, co pozwala jej przejąć kontrolę nad urządzeniem i przesyłać dane na serwery kontrolowane przez DoNot Team.
Analiza techniczna aplikacji „Tanzeem.apk” ujawniła obecność wielu niebezpiecznych uprawnień, w tym dostępu do kontaktów, wiadomości SMS, lokalizacji oraz plików przechowywanych na urządzeniu. Aplikacja ta była również powiązana z serwerem Command & Control pod adresem „hxxps://updash[.]info,” co umożliwiało grupie kontrolowanie działań zainfekowanego urządzenia i przesyłanie zgromadzonych danych. Wykorzystanie oficjalnych platform dystrybucji oraz legalnych bibliotek, takich jak OneSignal, w celu rozsyłania phishingowych powiadomień to elementy, które szczególnie wyróżniają tę grupę na tle innych ugrupowań cyberprzestępczych.
Ewolucja metod działania DoNot Team wskazuje na rosnące zagrożenie, które wymaga wzmożonej czujności. Współczesne cyberataki stają się coraz bardziej wyrafinowane, a atakujący chętnie wykorzystują psychologiczne mechanizmy zaufania do oficjalnych źródeł. Użytkownicy powinni uważnie monitorować, jakie aplikacje instalują na swoich urządzeniach, a także jakie uprawnienia im nadają. Nawet pozornie bezpieczne aplikacje mogą okazać się narzędziem wyrafinowanego ataku. Regularna edukacja i korzystanie z zaawansowanych narzędzi ochrony to kluczowe elementy, które mogą pomóc w minimalizowaniu ryzyka.
Działania grupy DoNot Team to przypomnienie, że w świecie cyberbezpieczeństwa nie ma miejsca na lekkomyślność. Zachowanie ostrożności i świadomość zagrożeń to podstawowe kroki, które pozwalają chronić nasze dane i prywatność.
