Rafel RAT
Diversos actors d'amenaça, inclosos els grups d'espionatge cibernètic, estan utilitzant una eina d'administració remota d'Android de codi obert coneguda com a Rafel RAT. Ho disfressen d'aplicacions populars com Instagram, WhatsApp i diverses aplicacions de comerç electrònic i anti-malware per assolir els seus objectius nocius.
El Rafel RAT proporciona a aquests actors un conjunt d'eines robust per a l'administració i el control remots, facilitant diverses activitats nefastes com ara el robatori de dades i la manipulació de dispositius. Les seves àmplies funcions inclouen esborrar targetes SD, esborrar registres de trucades, interceptar notificacions i fins i tot funcionar com a programari de ransom.
Taula de continguts
El Rafael RAT va ser detectat en nombroses campanyes d'atac
Els experts en ciberseguretat han destacat anteriorment l'ús del Rafel RAT per part de l'APT-C-35 (també conegut com a DoNot Team, Brainworm i Origami Elephant) en atacs que explotaven un error de disseny a Foxit PDF Reader per enganyar els usuaris perquè baixessin càrregues útils amenaçadores. Aquesta campanya, que va tenir lloc l'abril de 2024, va utilitzar esquers PDF de temàtica militar per lliurar el programari maliciós.
Els experts han identificat aproximadament 120 campanyes nocives diferents, incloses algunes dirigides a entitats d'alt perfil, a diversos països com Austràlia, Xina, Txeca, França, Alemanya, Índia, Indonèsia, Itàlia, Nova Zelanda, Pakistan, Romania, Rússia i els Estats Units.
La majoria de les víctimes posseïen telèfons Samsung, seguides pels usuaris de dispositius Xiaomi, Vivo i Huawei. En particular, al voltant del 87,5% dels dispositius infectats tenien versions d'Android obsoletes que ja no reben actualitzacions de seguretat.
El Rafel RAT pot comprometre una àmplia gamma de dades sensibles
Les cadenes d'atac típiques impliquen tàctiques d'enginyeria social per enganyar les víctimes perquè atorguin permisos intrusius a aplicacions infectades amb programari maliciós. Aquests permisos permeten al programari maliciós recopilar dades sensibles, com ara informació de contacte, missatges SMS (com ara codis 2FA), ubicació, registres de trucades i llistes d'aplicacions instal·lades, entre altres dades.
El Rafel RAT utilitza principalment HTTP(S) per a comunicacions de comandament i control (C2), però també pot utilitzar API de Discord per comunicar-se amb els actors d'amenaça. A més, inclou un panell C2 basat en PHP que els usuaris registrats poden utilitzar per emetre ordres a dispositius compromesos.
Els usuaris d'Android segueixen sent un objectiu freqüent dels ciberdelinqüents
L'eficàcia de l'eina entre diferents actors d'amenaça es valida per la seva participació en una operació de ransomware realitzada per un atacant que es creu que és de l'Iran. L'atacant va enviar una nota de rescat en àrab per SMS, instant una víctima del Pakistan a contactar-hi a través de Telegram.
El Rafel RAT exemplifica l'àmbit en evolució del programari maliciós d'Android, que es distingeix pel seu disseny de codi obert, una àmplia gamma de funcions i un desplegament ampli en diverses activitats il·lícites. El seu ús generalitzat subratlla la importància de la vigilància contínua i les mesures de seguretat proactives per protegir els dispositius Android de l'explotació perjudicial.
