Threat Database Malware RANA Android Malware

RANA Android Malware

Die RANA Android Malware ist ein bedrohliches Malware-Tool, das als Teil des Toolset einer Gruppe von Hackern mit dem Namen APT39 (Advanced Persistent Threat, APT) beobachtet wurde. Andere Aliase, die derselben Gruppe zugeordnet wurden, sind Chafer, ITG07 oder Remix Kitten. Es wird angenommen, dass dieser besondere Bedrohungsakteur vom iranischen Ministerium für Geheimdienste und Sicherheit (MOIS) unterstützt wird. Im September 2020 verhängte das US-Finanzministerium Sanktionen gegen diese bestimmte Hacker-Gruppe. Insbesondere richteten sich die Sanktionen gegen eine Einrichtung namens Rana Intelligence Computing Company, die als Front für die illegalen Aktivitäten der Hacker diente. Etwa zur gleichen Zeit veröffentlichte das FBI einen öffentlichen Bericht zur Bedrohungsanalyse, der Aufschluss über die Malware-Tools gab, die APT39 zur Verfügung standen.

Der Bericht enthielt eine Analyse von acht verschiedenen Gruppen nicht offengelegter Malware, die von der Hacker-Gruppe im Rahmen ihrer Aufklärungs-, Datendiebstahl- und Cyberspionagekampagnen eingesetzt wurden. Die RANA Android Malware ist eine der Bedrohungen, die im Bericht aufgedeckt werden. Die anfänglichen Fähigkeiten der im FBI-Bericht beschriebenen Bedrohung scheinen jedoch nur ein Teil ihrer wahren Bedrohungsfähigkeiten gewesen zu sein. Bei einem anschließenden tiefen Einblick in den zugrunde liegenden Code der RANA-Android-Malware, der von Infosec-Forschern durchgeführt wurde, wurden zusätzliche Funktionen zum Sammeln von Informationen entdeckt.

Die Angriffskette der RANA Android Malware beginnt mit der Bereitstellung einer 'optimizer.apk'-Anwendung auf dem Zielgerät. Bei vollständiger Bereitstellung empfängt diese Bedrohung HTTP-GET-Anforderungen von ihrer Command-and-Control-Infrastruktur (C2, C & C). Gemäß den empfangenen Befehlen sammelt RANA Geräte- und Systeminformationen, komprimiert sie und verschlüsselt sie mit dem kryptografischen AES-Algorithmus, bevor die Daten über eine HTTP-POST-Anforderung exfiltriert werden.

Zu den neu entdeckten Fähigkeiten der Malware gehören bedrohliche Funktionen zum Aufzeichnen von Audio und zum Erstellen beliebiger Screenshots. Es könnte auch einen benutzerdefinierten Wi-Fi-Zugangspunkt einrichten und über das gefährdete Gerät eine Verbindung herstellen. Mit dieser Methode kann der Bedrohungsakteur den ungewöhnlichen Netzwerkverkehr des Geräts besser verbergen. Alle infizierten Ziele könnten auch gezwungen sein, eingehende Anrufe von bestimmten Telefonnummern automatisch zu beantworten.

Die Bandbreite der RANA zur Verfügung stehenden Bedrohungsoperationen endet hier nicht. Die neuesten Varianten der Bedrohung können Eingabehilfen missbrauchen, um auf den Inhalt mehrerer Instant Messaging-Anwendungen zuzugreifen. Zu den entdeckten Zielen zählen WhatsApp, Telegram, Viber, Instagram, Skype und Talaeii, ein inoffizieller Telegramm-Client, der im Iran vertrieben wird.

Die von der RANA Android Malware angezeigten Bedrohungsfunktionen zeigten den Umfang der Überwachungsaktivitäten des APT39-Bedrohungsakteurs. Die Hacker versuchten, Anrufe zu nutzen, vertrauliche Daten zu filtern und die Standorte bestimmter Regierungsziele über ihre Mobilgeräte zu verfolgen.

Im Trend

Am häufigsten gesehen

Wird geladen...