伊朗 RANA Android 恶意软件监视即时通讯

12月7日，研究人员公布了一个安卓间谍软件的功能。该软件由一个受制裁的伊朗黑客组织开发，可以让攻击者从流行的即时通讯应用程序中监视私人聊天，强迫Wi-Fi连接，自动接听特定号码的来电，以窃听通话。

今年9月，美国财政部对伊朗黑客组织APT39（又名Chaffer、ITG07或Remix Kitten）实施制裁。在制裁的同时，美国联邦调查局（FBI）发布了一份威胁分析报告，描述了Rana Intelligence Computing公司使用的几种工具，该公司充当了APT39组织进行恶意网络活动的幌子。

FBI正式将APT39的活动与Rana联系起来，详细列出了8套独立且不同的恶意软件。这些恶意软件是该组织用来进行电脑入侵和侦察活动的，其中包括一款名为“optimizer.apk”的Android间谍软件，具有信息窃取和远程访问功能。

该机构表示：“APK植入程序具有信息窃取和远程访问功能，在用户不知情的情况下，可以在Android设备上获得根用户访问权限。”

“主要功能包括从C2服务器检索HTTP GET请求、获取设备数据、压缩和AES加密收集的数据，并通过HTTP POST请求将其发送到恶意C2服务器。”

ReversingLabs在最新发表的一份报告中，对这种植入程序（“ com.android.providers.optimizer”）进行了更深入的研究。

据研究人员Karlo Zanki称，这种植入程序不仅可以出于政府目的进行音频录制和拍摄照片，还可以添加自定义的Wi-Fi接入点并强制受损设备连接。

Zanki在分析报告中表示：“这项功能的引入可能是为了避免因目标手机账户上数据流量的异常使用而被发现。”

除此之外，它还可以自动接听来自特定电话号码的电话，从而允许攻击者按需打开对话。

除了支持接收通过SMS消息发送的命令外，联邦调查局引用的最新“optimizer”恶意软件还滥用了辅助功能，以访问即时消息应用程序，如WhatsApp、Instagram、Telegram、Viber、Skype和一个名为Talaeii的非官方伊朗电报客户端。

值得注意的是，在伊朗人权中心（CHRI）以安全考虑为由披露消息后，Telegram此前曾在2018年12月向Talaeii和Hotgram的用户发出“不安全”警告。

Zanki总结说：“当目标锁定个人时，攻击者通常希望监控他们的沟通和行动。手机最适合实现这样的目标，因为大多数人都会随身携带。由于安卓平台占据了全球智能手机最大的市场份额，因此它是移动恶意软件的主要目标。”

消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/