RANA Android-malware
De RANA Android Malware is een bedreigende malwaretool die is waargenomen als onderdeel van de toolset van een Advanced Persistent Threat (APT) -groep van hackers genaamd APT39. Andere aliassen die aan dezelfde groep zijn gekoppeld, zijn Chafer, ITG07 of Remix Kitten. Deze specifieke dreigingsacteur wordt verondersteld te worden gesteund door het Iraanse ministerie van Inlichtingen en Veiligheid (MOIS). In september 2020 heeft het Amerikaanse ministerie van Financiën sancties opgelegd aan deze specifieke hackergroep. Meer specifiek waren de sancties gericht tegen een entiteit genaamd Rana Intelligence Computing Company, die diende als dekmantel voor de illegale activiteiten van de hackers. Rond dezelfde tijd bracht de FBI een openbaar dreigingsanalyserapport uit dat licht werpt op de malwaretools waarover APT39 beschikt.
Het rapport bevatte een analyse van acht afzonderlijke sets geheime malware die door de hackergroep werd gebruikt als onderdeel van hun campagnes voor verkenning, gegevensdiefstal en cyberspionage. De RANA Android Malware is een van de bedreigingen die in het rapport aan het licht komen. De aanvankelijke mogelijkheden van de dreiging die in het FBI-rapport wordt beschreven, lijken echter slechts een deel te zijn geweest van de werkelijke reeks bedreigende vermogens. Inderdaad, een volgende diepe duik in de onderliggende code van de RANA Android Malware, uitgevoerd door infosec-onderzoekers, ontdekte aanvullende functies voor het verzamelen van informatie.
De aanvalsketen van de RANA Android Malware begint met de levering van een 'optimizer.apk'-applicatie op het beoogde apparaat. Wanneer deze bedreiging volledig is geïmplementeerd, begint deze HTTP GET-verzoeken te ontvangen van zijn Command-and-Control-infrastructuur (C2, C&C). Volgens de ontvangen opdrachten verzamelt RANA apparaat- en systeeminformatie, comprimeert deze en codeert deze met het AES-cryptografische algoritme voordat de gegevens worden geëxfiltreerd via een HTTP POST-verzoek.
Onder de nieuw ontdekte mogelijkheden van de malware bevinden zich bedreigende functies voor het opnemen van audio en het maken van willekeurige schermafbeeldingen. Het kan ook een aangepast Wi-Fi-toegangspunt opzetten en er een verbinding mee tot stand brengen via het gecompromitteerde apparaat. Door deze methode te gebruiken, kan de bedreigingsacteur het ongebruikelijke netwerkverkeer van het apparaat beter verbergen. Alle geïnfecteerde doelen kunnen ook worden gedwongen om inkomende oproepen van specifieke telefoonnummers automatisch te beantwoorden.
Het scala aan bedreigende operaties waarover RANA beschikt, houdt daar niet op. De nieuwste varianten van de dreiging kunnen toegankelijkheidsfuncties misbruiken om toegang te krijgen tot de inhoud van verschillende instant messaging-applicaties. Onder de ontdekte doelen zijn WhatsApp, Telegram, Viber, Instagram, Skype en Talaeii, een onofficiële Telegram-client die in Iran wordt gedistribueerd.
De reeks bedreigende functies die door de RANA Android Malware werden getoond, toonde de omvang van de bewakingsactiviteiten van de APT39-bedreigingsacteur. De hackers probeerden telefoontjes aan te boren, gevoelige gegevens te exfiltreren en de locaties van specifieke overheidsdoelen te volgen via hun mobiele apparaten.
