RANA Android Malware

RANA Android Malware er et truende malware-værktøj, der er blevet observeret som en del af værktøjssættet til en gruppe af hackere med avanceret vedvarende trussel (APT) kaldet APT39. Andre aliasser, der er forbundet med den samme gruppe, er Chafer, ITG07 eller Remix Kitten. Denne særlige trusselsaktør menes at være bakket op af det iranske ministerium for efterretning og sikkerhed (MOIS). I september 2020 indførte det amerikanske finansministerium sanktioner mod denne særlige hackergruppe. Mere specifikt målrettede sanktionerne en enhed ved navn Rana Intelligence Computing Company, der fungerede som en front for hackernes ulovlige aktiviteter. Omkring samme tid udsendte FBI en offentlig trusselanalyserapport, der kaster lys over de malware-værktøjer, der er til rådighed for APT39.

Rapporten indeholdt en analyse af otte separate sæt ikke-afsløret malware anvendt af hackergruppen som en del af deres rekognoscering, datatyveri og cyberspionagekampagner. RANA Android Malware er en af de trusler, som rapporten afslører. De første kapaciteter af truslen, der er beskrevet i FBI-rapporten, ser ud til at have været kun en del af dens sande sæt truende evner. Faktisk opdagede en efterfølgende dybdykning i den underliggende kode for RANA Android Malware udført af infosec-forskere yderligere funktioner til høst af information.

RANA Android Malwares angrebskæde begynder med levering af en 'optimizer.apk' applikation til den målrettede enhed. Når den er fuldt implementeret, begynder denne trussel at modtage HTTP GET-anmodninger fra sin Command-and-Control (C2, C&C) infrastruktur. I henhold til de modtagne kommandoer høster RANA enheds- og systeminformation, komprimerer den og krypterer den med AES-kryptografiske algoritme, før den exfiltrerer dataene via en HTTP POST-anmodning.

Blandt de nyligt opdagede evner ved malware er truende funktioner til optagelse af lyd og optagelse af vilkårlige skærmbilleder. Det kunne også oprette et brugerdefineret Wi-Fi-adgangspunkt og etablere en forbindelse til det via den kompromitterede enhed. Brug af denne metode vil gøre det muligt for trusselsaktøren at skjule enhedens usædvanlige netværkstrafik bedre. Alle inficerede mål kunne også blive tvunget til automatisk at besvare indgående opkald fra bestemte telefonnumre.

RANA's række truende operationer slutter ikke der. De nyeste varianter af truslen kan misbruge tilgængelighedsfunktioner for at få adgang til indholdet af flere instant messaging-applikationer. Blandt de opdagede mål er WhatsApp, Telegram, Viber, Instagram, Skype og Talaeii, en uofficiel Telegram-klient distribueret i Iran.

Rækken af truende funktioner, der vises af RANA Android Malware, viste omfanget af APT39-trusselsaktørens overvågningsaktiviteter. Hackerne forsøgte at udnytte opkald, exfiltrere følsomme data og spore specifikke myndighedsmåls placeringer gennem deres mobile enheder.