Logiciel malveillant Android RANA

Le logiciel malveillant Android RANA est un outil malveillant menaçant qui a été observé dans le cadre de l'ensemble d'outils d'un groupe de pirates informatiques Advanced Persistent Threat (APT) appelé APT39. Les autres alias associés au même groupe sont Chafer, ITG07 ou Remix Kitten. On pense que cet acteur de la menace est soutenu par le ministère iranien du renseignement et de la sécurité (MOIS). En septembre 2020, le département américain du Trésor a imposé des sanctions contre ce groupe de hackers. Plus précisément, les sanctions visaient une entité nommée Rana Intelligence Computing Company, qui servait de façade aux activités illicites des pirates. À peu près au même moment, le FBI a publié un rapport public d'analyse des menaces mettant en lumière les outils malveillants à la disposition d'APT39.

Le rapport contenait une analyse de huit ensembles distincts de logiciels malveillants non divulgués employés par le groupe de hackers dans le cadre de leurs campagnes de reconnaissance, de vol de données et de cyberespionnage. Le logiciel malveillant Android RANA est l'une des menaces découvertes par le rapport. Les capacités initiales de la menace décrite dans le rapport du FBI semblent cependant n'avoir été qu'une partie de son véritable ensemble de capacités menaçantes. En effet, une plongée ultérieure dans le code sous-jacent du logiciel malveillant Android RANA effectuée par les chercheurs d'Infosec a découvert des fonctionnalités supplémentaires de collecte d'informations.

La chaîne d'attaque de RANA Android Malware commence par la livraison d'une application «optimizer.apk» sur l'appareil ciblé. Une fois pleinement déployée, cette menace commence à recevoir des requêtes HTTP GET de son infrastructure de commande et de contrôle (C2, C&C). Selon les commandes reçues, RANA collecte les informations sur les appareils et le système, les compresse et les crypte avec l'algorithme cryptographique AES avant d'exfiltrer les données via une requête HTTP POST.

Parmi les capacités nouvellement découvertes du logiciel malveillant figurent des fonctions menaçantes d'enregistrement audio et de capture de captures d'écran arbitraires. Il pourrait également configurer un point d'accès Wi-Fi personnalisé et établir une connexion avec celui-ci via l'appareil compromis. L'utilisation de cette méthode permettrait à l'acteur de la menace de mieux masquer le trafic réseau inhabituel de l'appareil. Toutes les cibles infectées pourraient également être forcées de répondre automatiquement aux appels entrants provenant de numéros de téléphone spécifiques.

L'éventail des opérations menaçantes dont dispose RANA ne s'arrête pas là. Les dernières variantes de la menace peuvent abuser des fonctionnalités d'accessibilité pour accéder au contenu de plusieurs applications de messagerie instantanée. Parmi les cibles découvertes figurent WhatsApp, Telegram, Viber, Instagram, Skype et Talaeii, un client Telegram non officiel distribué en Iran.

La gamme de fonctionnalités menaçantes affichées par le logiciel malveillant Android RANA a montré l'étendue des activités de surveillance de l'acteur de la menace APT39. Les pirates ont tenté de puiser dans les appels, d'exfiltrer des données sensibles et de suivre les emplacements spécifiques de cibles gouvernementales via leurs appareils mobiles.