Malware Android RANA

RANA Android Malware è uno strumento malware minaccioso che è stato osservato come parte del set di strumenti di un gruppo di hacker APT (Advanced Persistent Threat) chiamato APT39. Altri alias che sono stati associati allo stesso gruppo sono Chafer, ITG07 o Remix Kitten. Si ritiene che questo particolare attore della minaccia sia sostenuto dal Ministero iraniano dell'intelligence e della sicurezza (MOIS). Nel settembre 2020, il Dipartimento del Tesoro degli Stati Uniti ha imposto sanzioni contro questo particolare gruppo di hacker. Più specificamente, le sanzioni hanno preso di mira un'entità chiamata Rana Intelligence Computing Company, che fungeva da copertura per le attività illecite degli hacker. Più o meno nello stesso periodo, l'FBI ha pubblicato un rapporto pubblico di analisi delle minacce che fa luce sugli strumenti malware a disposizione di APT39.

Il rapporto conteneva un'analisi di otto gruppi separati di malware non divulgati utilizzati dal gruppo di hacker nell'ambito delle campagne di ricognizione, furto di dati e spionaggio informatico. Il malware Android RANA è una delle minacce scoperte dal rapporto. Le capacità iniziali della minaccia descritta nel rapporto dell'FBI sembrano essere state solo una parte del suo vero insieme di abilità minacciose, però. In effetti, una successiva immersione nel codice sottostante del malware RANA Android eseguita dai ricercatori di infosec ha scoperto funzionalità aggiuntive di raccolta delle informazioni.

La catena di attacchi del malware Android RANA inizia con la consegna di un'applicazione "optimizer.apk" sul dispositivo mirato. Quando è completamente distribuita, la minaccia inizia a ricevere richieste HTTP GET dalla sua infrastruttura Command-and-Control (C2, C&C). In base ai comandi ricevuti, RANA raccoglie le informazioni sul dispositivo e sul sistema, le comprime e le crittografa con l'algoritmo crittografico AES prima di esfiltrare i dati tramite una richiesta HTTP POST.

Tra le abilità scoperte di recente del malware ci sono funzioni minacciose per la registrazione dell'audio e l'acquisizione di schermate arbitrarie. Potrebbe anche configurare un punto di accesso Wi-Fi personalizzato e stabilire una connessione ad esso tramite il dispositivo compromesso. L'utilizzo di questo metodo consentirebbe all'attore della minaccia di nascondere meglio il traffico di rete insolito del dispositivo. Tutti i bersagli infetti potrebbero anche essere costretti a rispondere automaticamente alle chiamate in arrivo da numeri di telefono specifici.

La gamma di operazioni minacciose a disposizione di RANA non finisce qui. Le ultime varianti della minaccia possono abusare delle funzionalità di accessibilità per accedere ai contenuti di diverse applicazioni di messaggistica istantanea. Tra gli obiettivi scoperti ci sono WhatsApp, Telegram, Viber, Instagram, Skype e Talaeii, un client Telegram non ufficiale distribuito in Iran.

La gamma di funzionalità minacciose visualizzate dal malware Android RANA ha mostrato l'ambito delle attività di sorveglianza dell'attore della minaccia APT39. Gli hacker hanno tentato di attingere alle chiamate, esfiltrare dati sensibili e monitorare le posizioni di obiettivi governativi specifici attraverso i loro dispositivi mobili.