RANA Android Malware

O RANA Android Malware é uma ferramenta de malware ameaçadora que foi observada como parte do conjunto de ferramentas de um grupo de hackers Advanced Persistent Threat (APT) chamado APT39. Outros aliases que foram associados ao mesmo grupo são Chafer, ITG07 ou Remix Kitten. Acredita-se que esse ator de ameaça em particular seja apoiado pelo Ministério de Inteligência e Segurança iraniano (MOIS). Em setembro de 2020, o Departamento do Tesouro dos EUA impôs sanções contra esse grupo de hackers em particular. Mais especificamente, as sanções visavam uma entidade chamada Rana Intelligence Computing Company, que servia de fachada para as atividades ilícitas dos hackers. Na mesma época, o FBI emitiu um relatório público de análise de ameaças lançando luz sobre as ferramentas de malware à disposição do APT39.

O relatório continha uma análise de oito conjuntos separados de malware não divulgado empregados pelo grupo de hackers como parte de suas campanhas de reconhecimento, roubo de dados e espionagem cibernética. O RANA Android Malware é uma das ameaças descobertas pelo relatório. No entanto, as capacidades iniciais da ameaça descrita no relatório do FBI parecem ter sido apenas uma parte de seu verdadeiro conjunto de habilidades ameaçadoras. De fato, um mergulho profundo subsequente no código subjacente do RANA Android Malware realizado por pesquisadores da infosec descobriu funcionalidades adicionais de coleta de informações.

A cadeia de ataque do RANA Android Malware começa com a entrega de um aplicativo 'optimizer.apk' no dispositivo de destino. Quando totalmente implantada, essa ameaça começa a receber solicitações HTTP GET de sua infraestrutura de comando e controle (C2, C&C). De acordo com os comandos recebidos, o RANA coleta informações do dispositivo e do sistema, compacta-as e criptografa-as com o algoritmo criptográfico AES antes de extrair os dados por meio de uma solicitação HTTP POST.

Entre as habilidades recém-descobertas do malware estão funções ameaçadoras para gravar áudio e fazer capturas de tela arbitrárias. Ele também pode configurar um ponto de acesso Wi-Fi personalizado e estabelecer uma conexão com ele por meio do dispositivo comprometido. O uso desse método permitiria que o agente da ameaça ocultasse melhor o tráfego de rede incomum do dispositivo. Todos os alvos infectados também podem ser forçados a atender chamadas de números de telefone específicos automaticamente.

A gama de operações ameaçadoras disponíveis para RANA não termina aí. As variantes mais recentes da ameaça podem abusar dos recursos de acessibilidade para acessar o conteúdo de vários aplicativos de mensagens instantâneas. Entre os alvos descobertos estão WhatsApp, Telegram, Viber, Instagram, Skype e Talaeii, um cliente não oficial do Telegram distribuído no Irã.

A gama de recursos ameaçadores exibidos pelo RANA Android Malware mostrou o escopo das atividades de vigilância do ator da ameaça APT39. Os hackers tentaram acessar chamadas, exfiltrar dados confidenciais e rastrear a localização de alvos governamentais específicos por meio de seus dispositivos móveis.