Malware para Android RANA

RANA Android Malware es una herramienta de malware amenazante que se ha observado como parte del conjunto de herramientas de un grupo de piratas informáticos de amenazas persistentes avanzadas (APT) llamado APT39. Otros alias que se han asociado a un mismo grupo son Chafer, ITG07 o Remix Kitten. Se cree que este actor de amenazas en particular está respaldado por el Ministerio de Inteligencia y Seguridad de Irán (MOIS). En septiembre de 2020, el Departamento del Tesoro de EE. UU. Impuso sanciones contra este grupo de hackers en particular. Más específicamente, las sanciones se dirigieron a una entidad llamada Rana Intelligence Computing Company, que sirvió como fachada para las actividades ilícitas de los piratas informáticos. Casi al mismo tiempo, el FBI emitió un informe de análisis de amenazas público que arrojó luz sobre las herramientas de malware a disposición de APT39.

El informe contenía un análisis de ocho conjuntos separados de malware no revelado empleado por el grupo de hackers como parte de sus campañas de reconocimiento, robo de datos y ciberespionaje. RANA Android Malware es una de las amenazas descubiertas por el informe. Sin embargo, las capacidades iniciales de la amenaza descrita en el informe del FBI parecen haber sido solo una parte de su verdadero conjunto de habilidades amenazantes. De hecho, una inmersión profunda posterior en el código subyacente del Malware de Android RANA realizada por investigadores de seguridad de la información descubrió funcionalidades adicionales de recolección de información.

La cadena de ataque de RANA Android Malware comienza con la entrega de una aplicación 'optimizer.apk' en el dispositivo objetivo. Cuando está completamente implementada, esa amenaza comienza a recibir solicitudes HTTP GET desde su infraestructura de Comando y Control (C2, C&C). De acuerdo con los comandos recibidos, RANA recolecta información del dispositivo y del sistema, la comprime y la encripta con el algoritmo criptográfico AES antes de exfiltrar los datos a través de una solicitud HTTP POST.

Entre las capacidades recientemente descubiertas del malware se encuentran funciones amenazantes para grabar audio y tomar capturas de pantalla arbitrarias. También podría configurar un punto de acceso Wi-Fi personalizado y establecer una conexión a través del dispositivo comprometido. El uso de este método permitiría al actor de amenazas ocultar mejor el tráfico de red inusual del dispositivo. Todos los objetivos infectados también podrían verse obligados a responder llamadas entrantes de números de teléfono específicos automáticamente.

La gama de operaciones amenazantes disponibles para RANA no termina ahí. Las últimas variantes de la amenaza pueden abusar de las funciones de accesibilidad para acceder al contenido de varias aplicaciones de mensajería instantánea. Entre los objetivos descubiertos se encuentran WhatsApp, Telegram, Viber, Instagram, Skype y Talaeii, un cliente de Telegram no oficial distribuido en Irán.

La gama de características amenazantes mostradas por RANA Android Malware mostró el alcance de las actividades de vigilancia del actor de amenazas APT39. Los piratas informáticos intentaron acceder a las llamadas, exfiltrar datos confidenciales y rastrear las ubicaciones de objetivos gubernamentales específicos a través de sus dispositivos móviles.