skip to Main Content

Cyber Espionage, il malware Rana prende di mira i messaggi WhatsApp

di Pierguido Iezzi

Il malware Rana prende di mira i messaggi WhatsApp, Skype e Instagram su Android. Il codice malevolo è costantemente aggiornato da APT39, gruppo di cyber espionage legato all’Iran

Un gruppo di ricercatori ha appena scoperto nuovi dettagli del malware RANA, che prende di mira i dispositivi Android ed è strettamente legato al gruppo di hacker di stato iraniani, APT39. Questo sembra abbia introdotto una variante con nuove capacità di sorveglianza, tra cui la possibilità di curiosare sui messaggi di Skype, Instagram e WhatsApp delle vittime. Secondo le autorità statunitensi, gli sviluppatori del malware operano presumibilmente sotto le spoglie della società di copertura Rana Intelligence Computing Co., collegata ad APT39 (noto anche come Chafer, Cadelspy, Remexi e ITG07), nonché al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS). Non a caso, lo scorso 17 settembre, lo U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) ha imposto sanzioni nei confronti di APT39, che dal 2014 ha condotto varie campagne contro dissidenti e giornalisti interni, ma anche aziende internazionali attive nel settore del turismo.

Quali sono i “vecchi” e nuovi strumenti che lo spyware incorpora

In concomitanza con le sanzioni, l’FBI ha anche pubblicato un rapporto di analisi che prendeva in esame diversi strumenti utilizzati dalla Rana Corp. In questo ultimo rapporto, i ricercatori di cybersecurity hanno anche pubblicato le loro analisi di uno di questi campioni di malware (com.android.providers.optimizer) e hanno scoperto che la sua ultima variante presenta diversi nuovi comandi, da cui si deduce che gli aggressori stanno attivamente migliorando le loro capacità di sorveglianza. Mentre in precedenza il codice malevolo aveva già incorporato funzionalità di data stealing e di accesso remoto, la sua ultima versione fa un passo avanti utilizzando i servizi di accessibilità mobile per prendere di mira le applicazioni di messaggistica istantanea delle vittime. Questi, pensati per assistere gli utenti Android con disabilità, sono peraltro già stati sfruttati dal cybercrime per attacchi. Le funzionalità vengono eseguite in background e ricevono callbacks dal sistema quando viene eseguito “AccessibilityEvents”.

Il bersaglio degli hacker di stato sono i cittadini iraniani

I Criminal Hacker hanno sfruttato questi servizi per ottenere le autorizzazioni necessarie a spiare negli smartphone delle vittime. Questo particolare malware utilizza i servizi di accessibilità per monitorare un elenco completo di messaggi sulle applicazioni di messaggistica istantanea, tra cui l’applicazione Android di Instagram, Skype, Telegram, Viber e WhatsApp. Come se non bastasse, l’esame delle applicazioni di messaggistica istantanea monitorate dimostra che questo malware è probabilmente utilizzato per la sorveglianza dei cittadini iraniani. Infatti, una delle applicazioni di messaggistica istantanea monitorata è un pacchetto chiamato ‘org.ir.talaeii’, un client Telegram non ufficiale sviluppato in Iran.

Altre funzioni del Rana malware

Il malware Rana, oltre alle sofisticate capacità di sorveglianza, comprende ora anche vari nuovi comandi, come la possibilità di ricevere istruzioni dal server di comando e controllo (C2) che vengono inviati via SMS. Intercetta il messaggio ricevuto e, se inizia con un header di comando predefinito, interrompe l’ulteriore propagazione dell’SMS_RECEIVED Intent. In questo modo si evita che l’SMS finisca nell’applicazione predefinita. Il malware può anche scattare foto e registrare audio sui telefoni delle vittime, oltre a rispondere automaticamente alle chiamate da specifici numeri di telefono. “Consente anche di programmare l’avvio di un dispositivo in un momento specifico, garantendo la sua attivazione anche quando qualcuno spegne il telefono”, hanno sottolineato i ricercatori di cybersecurity. Un altro comando meno comune di Android che il malware ha a disposizione è la possibilità di aggiungere un punto di accesso Wi-Fi personalizzato e di forzare il dispositivo a connettersi ad esso. Si ritiene che questa funzione sia stata introdotta per evitare possibili rilevamenti dovuti a un uso insolito del traffico dati sull’account mobile dell’obiettivo.

Rischio Android?

Android, per sua natura, è storicamente più esposto alle minacce cyber del suo concorrente iOS – anche se ritenere questo intoccabile è assolutamente sbagliato. Gli utenti del sistema operativo, infatti, continuano a essere colpiti da varie minacce mobili, tra cui adware “non cancellabili” e trojan bancari. Per contrastare il fenomeno della diffusione di malware mobile è sempre e comunque necessario tenere bene a mente alcune regole “auree”, in particolare per quanto riguarda la gestione dei permessi che concediamo alle varie applicazioni e da dove e come le scarichiamo. Questo include sapere quali applicazioni hanno accesso ai microfoni e alle informazioni sensibili. Tutte le aziende, ma anche gli enti, che adottano politiche di BYOD, devono dotarsi di policy che includano il controllo delle applicazioni, di verifica continua delle impostazioni del sistema e di scansione alla ricerca di malware. A ciò va aggiunta la componente imprescindibile della formazione, in quanto la maggior parte di questi malware vengo diffusi tramite tattiche di social engineering come Smishing, phishing o Maladvertising. Imparare a riconoscere le minacce si traduce in una significativa riduzione del rischio a cui siamo esposti come individui, ma anche come membri di un’organizzazione.

Non abbassiamo la guardia!

Back To Top