Actores de Amenaza Usando Malware Rafel RAT Para Atacar Teléfonos Android

La firma de ciberseguridad Check Point Research ha advertido sobre el malware de código abierto para Android ‘Rafel RAT’, que permite a los ciberdelincuentes atacar dispositivos obsoletos.

Según un análisis de Antonis Terefos y Bohdan Melnykov en Check Point, Rafel, una herramienta de administración remota (RAT) de código abierto, fue utilizada por múltiples actores de amenaza, incluidos grupos de ciberespionaje, e identificaron alrededor de 120 campañas maliciosas diferentes.

Rafel RAT es una herramienta de malware de código abierto que opera de manera encubierta en dispositivos Android.

Proporciona a los actores maliciosos un potente conjunto de herramientas para la administración y control remoto, lo que les permite llevar a cabo una variedad de actividades maliciosas, desde el robo de datos hasta la manipulación de dispositivos.

Los actores más conocidos detrás de estas campañas incluyen APT-C-35 (DoNot Team), mientras que los orígenes de la actividad maliciosa se han rastreado hasta Irán y Pakistán.

Los ataques apuntaron con éxito a organizaciones de alto perfil, incluidos el gobierno y el sector militar, siendo la mayoría de las víctimas objetivo de los Estados Unidos, China, Pakistán, Indonesia y otras regiones, lo que destaca el vasto alcance geográfico de los ataques.

Durante su investigación, Check Point encontró que la mayoría de los dispositivos infectados ejecutaban una versión de Android que había llegado al final de su vida útil (EoL) y ya no requería actualizaciones de seguridad, lo que los hacía vulnerables a vulnerabilidades conocidas.

El malware ataca principalmente dispositivos que ejecutan versiones de Android 11 y anteriores, representando más del 87.5% de las infecciones. En algunos casos, solo el 12.5% de los dispositivos afectados ejecutan Android 12 o 13.

Las marcas y modelos afectados incluyen varios tipos de dispositivos, incluidos Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One y dispositivos de OnePlus, Vivo y Huawei. Esto muestra la efectividad del malware Rafel RAT contra varios sistemas operativos Android.

Rafel RAT se propaga bajo la apariencia de entidades legítimas, con actores de amenaza que a menudo abusan de múltiples aplicaciones ampliamente reconocidas, incluidos Instagram, WhatsApp, varias plataformas de comercio electrónico, programas antivirus y aplicaciones de soporte para numerosos servicios.

Este malware fue desarrollado para participar en campañas de phishing. Una vez instalado en el teléfono de una víctima, Rafel puede solicitar numerosos permisos para Notificaciones o derechos de Administrador del Dispositivo o buscar sigilosamente permisos sensibles mínimos (como SMS, Registros de Llamadas y Contactos) en su búsqueda por permanecer indetectado.

Sin embargo, se ejecuta en segundo plano inmediatamente después de la activación y se comunica con servidores remotos de comando y control (C&C) a través de HTTP o HTTPS cifrado.

La aplicación Rafel posee todas las características esenciales requeridas para ejecutar esquemas de extorsión de manera efectiva.

Si obtiene privilegios de DeviceAdmin, el malware puede alterar la contraseña de la pantalla de bloqueo y ayudar a prevenir la desinstalación del malware.

En numerosos casos, se robaron mensajes de 2FA, lo que podría llevar a un bypass de la autenticación multifactor.

“Si un usuario intenta revocar los privilegios de administrador de la aplicación, esta cambia rápidamente la contraseña y bloquea la pantalla, frustrando cualquier intento de intervención”, dijo Check Point en un análisis publicado la semana pasada.

“Además de su funcionalidad de bloqueo, el malware incorpora una variante que cifra archivos utilizando cifrado AES, empleando una clave predefinida. Alternativamente, puede eliminar archivos del almacenamiento del dispositivo.”

Check Point Research identificó una operación de ransomware realizada utilizando Rafel RAT, posiblemente llevada a cabo por un actor de amenaza originario de Irán, que envió una “nota de rescate” en forma de un mensaje SMS escrito en árabe que insistía a una víctima en Pakistán que se pusiera en contacto con ellos en Telegram para continuar el diálogo.

“Rafel RAT es un ejemplo potente del paisaje en evolución del malware para Android, caracterizado por su naturaleza de código abierto, conjunto de características extensas y utilización generalizada en diversas actividades ilícitas”, señaló Check Point.

“La prevalencia de Rafel RAT destaca la necesidad de vigilancia continua y medidas de seguridad proactivas para proteger los dispositivos Android contra la explotación maliciosa.”

Para protegerse contra estos ataques, los usuarios deben mantener sus dispositivos actualizados, evitar descargas de APK de remitentes desconocidos o aplicaciones descargadas de sitios web desconocidos, evitar hacer clic en URLs incrustadas en correos electrónicos o SMS, y escanear aplicaciones con Google Play Protect antes de lanzarlas.