Attori delle minacce che utilizzano il malware Rafel RAT per colpire i telefoni Android

La società di cybersecurity Check Point Research ha avvertito contro il malware Android open-source ‘Rafel RAT’, che consente ai criminali informatici di attaccare dispositivi obsoleti.

Secondo un’analisi di Antonis Terefos e Bohdan Melnykov di Check Point, Rafel, uno strumento di amministrazione remota (RAT) open-source, è stato utilizzato da più attori delle minacce, inclusi gruppi di cyber spionaggio, e sono state identificate circa 120 diverse campagne malevole.

Rafel RAT è uno strumento malware open-source che opera in modo furtivo sui dispositivi Android.

Fornisce agli attori malevoli un potente kit di strumenti per l’amministrazione e il controllo remoto, consentendo loro di eseguire una serie di attività malevole, dal furto di dati alla manipolazione dei dispositivi.

Gli attori più noti dietro queste campagne includono APT-C-35 (DoNot Team), mentre le origini dell’attività malevola sono state rintracciate in Iran e Pakistan.

Gli attacchi hanno colpito con successo organizzazioni di alto profilo, inclusi il governo e il settore militare, con la maggior parte delle vittime mirate provenienti dagli Stati Uniti, Cina, Pakistan, Indonesia e altre regioni, evidenziando l’ampia portata geografica degli attacchi.

Durante la loro indagine, Check Point ha scoperto che la maggior parte dei dispositivi infetti eseguiva una versione di Android che aveva raggiunto la fine del ciclo di vita (EoL) e non richiedeva più aggiornamenti di sicurezza, rendendoli vulnerabili a vulnerabilità note.

Il malware attacca principalmente i dispositivi che eseguono versioni di Android 11 e precedenti, rappresentando oltre l’87,5% delle infezioni. In alcuni casi, solo il 12,5% dei dispositivi colpiti esegue Android 12 o 13.

I marchi e i modelli interessati includono vari tipi di dispositivi, tra cui Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One e dispositivi di OnePlus, Vivo e Huawei. Questo dimostra l’efficacia del malware Rafel RAT contro vari sistemi operativi Android.

Rafel RAT si diffonde sotto le spoglie di entità legittime, con gli attori delle minacce che spesso abusano di molte app ampiamente riconosciute, tra cui Instagram, WhatsApp, varie piattaforme di e-commerce, programmi antivirus e app di supporto per numerosi servizi.

Questo malware è stato sviluppato per partecipare a campagne di phishing. Una volta installato sul telefono di una vittima, Rafel può richiedere numerosi permessi per le notifiche o i diritti di amministratore del dispositivo o cercare furtivamente permessi sensibili minimi (come SMS, registri delle chiamate e contatti) nella sua ricerca di rimanere non rilevato.

Indipendentemente da ciò, viene eseguito in background immediatamente dopo l’attivazione e comunica con server di comando e controllo (C&C) remoti tramite HTTP o HTTPS crittografato.

L’applicazione Rafel possiede tutte le funzionalità essenziali necessarie per eseguire efficacemente schemi di estorsione.

Se ottiene privilegi di DeviceAdmin, il malware può modificare la password dello schermo di blocco e aiutare a prevenire la disinstallazione del malware.

In numerosi casi, i messaggi 2FA sono stati rubati, portando potenzialmente a un bypass dell’autenticazione a più fattori.

“Se un utente tenta di revocare i privilegi di amministratore dall’applicazione, essa cambia prontamente la password e blocca lo schermo, ostacolando qualsiasi tentativo di intervento,” ha dichiarato Check Point in un’analisi pubblicata la scorsa settimana.

“In aggiunta alla sua funzionalità di blocco, il malware incorpora una variante che crittografa i file utilizzando la crittografia AES, impiegando una chiave predefinita. In alternativa, può eliminare file dalla memoria del dispositivo.”

Check Point Research ha identificato un’operazione di ransomware eseguita utilizzando Rafel RAT, probabilmente condotta da un attore delle minacce proveniente dall’Iran, che ha inviato una “nota di riscatto” sotto forma di messaggio SMS scritto in arabo che insisteva affinché una vittima in Pakistan li contattasse su Telegram per continuare il dialogo.

“Rafel RAT è un esempio potente del panorama in evoluzione del malware Android, caratterizzato dalla sua natura open-source, da un ampio set di funzionalità e da un utilizzo diffuso in varie attività illecite,” ha sottolineato Check Point.

“La prevalenza di Rafel RAT evidenzia la necessità di vigilanza continua e misure di sicurezza proattive per proteggere i dispositivi Android contro sfruttamenti malevoli.”

Per proteggersi da questi attacchi, gli utenti dovrebbero mantenere i propri dispositivi aggiornati, evitare download di APK da mittenti sconosciuti o applicazioni scaricate da siti web sconosciuti, evitare di cliccare su URL incorporati in email o SMS e scansionare le app con Google Play Protect prima di avviarle.