El malware iraní RANA para Android también espía a los mensajeros instantáneos

Un equipo de investigadores reveló hoy capacidades no reveladas previamente de un implante de software espía de Android, desarrollado por un actor de amenazas iraní sancionado, que podría permitir a los atacantes espiar chats privados de aplicaciones populares de mensajería instantánea, forzar conexiones Wi-Fi y responder llamadas automáticamente de usuarios específicos. números con el propósito de espiar conversaciones.

En septiembre, el Departamento del Tesoro de EE. UU. impuso sanciones a APT39 (también conocido como Chafer, ITG07 o Remix Kitten), un actor de amenazas iraní respaldado por el Ministerio de Inteligencia y Seguridad del país (MOIS), por llevar a cabo campañas de malware dirigidas a disidentes iraníes. periodistas y empresas internacionales en los sectores de telecomunicaciones y viajes.

Coincidiendo con las sanciones, la Oficina Federal de Investigaciones (FBI, por sus siglas en inglés) publicó un informe de análisis de amenazas público que describe varias herramientas utilizadas por Rana Intelligence Computing Company, que operaba como fachada para las actividades cibernéticas maliciosas realizadas por el grupo APT39.

Al vincular formalmente las operaciones de APT39 con Rana, el FBI detalló ocho conjuntos separados y distintos de malware previamente no revelados utilizados por el grupo para realizar sus actividades de reconocimiento e intrusión informática, incluida una aplicación de software espía de Android llamada «optimizer.apk» con robo de información y capacidades de acceso remoto.

«El implante APK tenía una función de robo de información y acceso remoto que obtuvo acceso de root en un dispositivo Android sin el conocimiento del usuario», afirmó la agencia.

«Las capacidades principales incluyen la recuperación de solicitudes HTTP GET del servidor C2, la obtención de datos del dispositivo, la compresión y el cifrado AES de los datos recopilados y el envío a través de solicitudes HTTP POST al servidor C2 malicioso».

ReversingLabs, en un informe recientemente publicado hoy, profundizó en este implante («com.android.providers.optimizer») utilizando una versión anterior no ofuscada del malware descrito en el informe Flash del FBI.

Según el investigador Karlo Zanki, el implante no solo tenía permisos para grabar audio y tomar fotos con fines de vigilancia del gobierno, sino que también contenía una función para agregar un punto de acceso Wi-Fi personalizado y obligar a un dispositivo comprometido a conectarse a él.

«Esta función probablemente se introdujo para evitar una posible detección debido al uso inusual del tráfico de datos en la cuenta móvil del objetivo», dijo Zanki en un análisis.

También se destacó la capacidad de responder automáticamente llamadas de números de teléfono específicos, lo que permitió al actor de amenazas acceder a las conversaciones a pedido.

Además de ofrecer soporte para recibir comandos enviados a través de mensajes SMS, la última variante del malware «optimizador» al que hace referencia el FBI abusó de los servicios de accesibilidad para acceder a contenidos de aplicaciones de mensajería instantánea como WhatsApp, Instagram, Telegram, Viber, Skype y un Irán no oficial. Cliente basado en Telegram llamado Talaeii.

Vale la pena señalar que Telegram había emitido previamente advertencias «inseguras» a los usuarios de Talaeii y Hotgram en diciembre de 2018 luego de la divulgación del Centro de Derechos Humanos en Irán (CHRI) citando preocupaciones de seguridad.

«Cuando se dirigen a individuos, los actores de amenazas a menudo quieren monitorear su comunicación y movimiento», concluyó Zanki. «Los teléfonos móviles son los más adecuados para tales objetivos debido a la potencia informática contenida en su bolsillo y al hecho de que la mayoría de la gente los lleva consigo todo el tiempo».

«Dado que la plataforma Android mantiene la mayor parte de la cuota de mercado mundial de teléfonos inteligentes, se deduce que también es el objetivo principal del malware móvil».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática