Atores de Ameaça Usando Malware Rafel RAT Para Alvo de Telefones Android

A empresa de cibersegurança Check Point Research alertou contra o malware Android de código aberto ‘Rafel RAT’, que permite que cibercriminosos ataquem dispositivos desatualizados.

De acordo com uma análise de Antonis Terefos e Bohdan Melnykov da Check Point, Rafel, uma ferramenta de administração remota (RAT) de código aberto, foi utilizada por múltiplos atores de ameaça, incluindo grupos de espionagem cibernética, e identificou cerca de 120 campanhas maliciosas diferentes.

Rafel RAT é uma ferramenta de malware de código aberto que opera de forma encoberta em dispositivos Android.

Ela fornece a atores maliciosos um poderoso conjunto de ferramentas para administração e controle remoto, permitindo-lhes realizar uma gama de atividades maliciosas, desde roubo de dados até manipulação de dispositivos.

Os atores mais conhecidos por trás dessas campanhas incluem APT-C-35 (DoNot Team), enquanto as origens da atividade maliciosa foram rastreadas até o Irã e o Paquistão.

Os ataques visaram com sucesso organizações de alto perfil, incluindo o governo e o setor militar, com a maioria das vítimas sendo dos Estados Unidos, China, Paquistão, Indonésia e outras regiões, destacando o vasto alcance geográfico dos ataques.

Durante sua investigação, a Check Point descobriu que a maioria dos dispositivos infectados executava uma versão do Android que havia atingido o fim da vida útil (EoL) e não exigia mais atualizações de segurança, tornando-os vulneráveis a vulnerabilidades conhecidas.

O malware ataca principalmente dispositivos que executam versões do Android 11 e anteriores, representando mais de 87,5% das infecções. Em alguns casos, apenas 12,5% dos dispositivos afetados executam Android 12 ou 13.

As marcas e modelos afetados incluem vários tipos de dispositivos, incluindo Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One e dispositivos da OnePlus, Vivo e Huawei. Isso mostra a eficácia do malware Rafel RAT contra vários sistemas operacionais Android.

Rafel RAT é espalhado sob a aparência de entidades legítimas, com atores de ameaça frequentemente abusando de vários aplicativos amplamente reconhecidos, incluindo Instagram, WhatsApp, várias plataformas de e-commerce, programas antivírus e aplicativos de suporte para diversos serviços.

Este malware foi desenvolvido para participar de campanhas de phishing. Uma vez instalado no telefone de uma vítima, Rafel pode solicitar inúmeras permissões para Notificações ou direitos de Administrador do Dispositivo ou buscar furtivamente permissões sensíveis mínimas (como SMS, Registros de Chamadas e Contatos) em sua busca para permanecer indetectável.

Independentemente disso, ele é executado em segundo plano imediatamente após a ativação e se comunica com servidores remotos de comando e controle (C&C) via HTTP ou HTTPS criptografado.

O aplicativo Rafel possui todos os recursos essenciais necessários para executar esquemas de extorsão de forma eficaz.

Se obtiver privilégios de DeviceAdmin, o malware pode alterar a senha da tela de bloqueio e ajudar a impedir a desinstalação do malware.

Em numerosos casos, mensagens de 2FA foram roubadas, potencialmente levando a uma violação da autenticação multifatorial.

“Se um usuário tentar revogar privilégios de administrador do aplicativo, ele prontamente muda a senha e bloqueia a tela, frustrando quaisquer tentativas de intervenção”, disse a Check Point em uma análise publicada na semana passada.

“Além de sua funcionalidade de bloqueio, o malware incorpora uma variante que criptografa arquivos usando criptografia AES, empregando uma chave predefinida. Alternativamente, pode excluir arquivos do armazenamento do dispositivo.”

A Check Point Research identificou uma operação de ransomware realizada usando Rafel RAT, possivelmente realizada por um ator de ameaça originário do Irã, que enviou uma “nota de resgate” na forma de uma mensagem SMS escrita em árabe que insistia para que uma vítima no Paquistão entrasse em contato com eles no Telegram para continuar o diálogo.

“Rafel RAT é um exemplo potente do cenário em evolução do malware Android, caracterizado por sua natureza de código aberto, conjunto de recursos extensivo e ampla utilização em várias atividades ilícitas”, destacou a Check Point.

“A prevalência do Rafel RAT destaca a necessidade de vigilância contínua e medidas de segurança proativas para proteger dispositivos Android contra exploração maliciosa.”

Para se proteger contra esses ataques, os usuários devem manter seus dispositivos atualizados, evitar downloads de APK de remetentes desconhecidos ou aplicativos baixados de sites desconhecidos, evitar clicar em URLs incorporadas em e-mails ou SMS, e escanear aplicativos com o Google Play Protect antes de lançá-los.