Il gruppo noto come DoNot Team è stato collegato a un nuovo malware Android nell'ambito di attacchi informatici mirati. Gli artefatti, denominati Tanzeem (che significa "organizzazione" in urdu) e Tanzeem Update, sono stati individuati nei mesi di ottobre e dicembre 2024 dall'azienda di cybersecurity Cyfirma. Le applicazioni in questione presentano funzioni identiche, salvo lievi modifiche all'interfaccia utente. Nonostante l'app sembri funzionare come un'applicazione di chat, non opera una volta installata, chiudendosi dopo che le autorizzazioni necessarie sono state concesse. Cyfirma osserva che il nome dell'app suggerisce che sia progettata per prendere di mira individui o gruppi specifici sia all'interno che all'esterno del paese.

Il DoNot Team, noto anche come APT-C-35, Origami Elephant, SECTOR02 e Viceroy Tiger, è un gruppo di hacker di presunta origine indiana, noto per attacchi storici che sfruttano email di spear-phishing e famiglie di malware Android per raccogliere informazioni di interesse. Nel mese di ottobre 2023, il gruppo è stato collegato a un backdoor basato su .NET, precedentemente non documentato, chiamato Firebird, che mirava a pochi bersagli in Pakistan e Afghanistan.

Attualmente non è chiaro chi siano i bersagli esatti del malware più recente, anche se si sospetta che siano stati utilizzati contro individui specifici con l'obiettivo di raccogliere informazioni di intelligence contro minacce interne. Un aspetto notevole dell'applicazione Android dannosa è l'uso di OneSignal, una piattaforma popolare per il coinvolgimento dei clienti utilizzata dalle organizzazioni per inviare notifiche push, messaggi in-app, email e SMS. Cyfirma teorizza che la libreria venga abusata per inviare notifiche contenenti link di phishing che portano al dispiegamento di malware.

Indipendentemente dal meccanismo di distribuzione utilizzato, l'app mostra una schermata di chat falsa al momento dell'installazione e invita la vittima a cliccare su un pulsante chiamato "Avvia Chat". Facendo ciò, si attiva un messaggio che istruisce l'utente a concedere permessi al servizio di accessibilità, permettendo così l'esecuzione di varie azioni nefaste. L'app richiede anche l'accesso a diverse autorizzazioni sensibili che facilitano la raccolta di registri delle chiamate, contatti, messaggi SMS, posizioni precise, informazioni sugli account e file presenti nella memoria esterna. Alcune delle altre funzionalità includono la cattura di registrazioni dello schermo e la creazione di connessioni a un server di comando e controllo (C2).

I campioni raccolti rivelano una nuova tattica che coinvolge notifiche push che incoraggiano gli utenti a installare ulteriori malware Android, garantendo la persistenza del malware sul dispositivo. Questa tattica migliora la capacità del malware di rimanere attivo sul dispositivo bersaglio, indicando le intenzioni in evoluzione del gruppo di minaccia di continuare a partecipare alla raccolta di informazioni per interessi nazionali.