Raffaello RATTO
Diversi autori di minacce, inclusi gruppi di spionaggio informatico, stanno utilizzando uno strumento di amministrazione remota Android open source noto come Rafel RAT. Lo mascherano da applicazioni popolari come Instagram, WhatsApp e varie applicazioni di e-commerce e anti-malware per raggiungere i loro obiettivi dannosi.
Il Rafel RAT fornisce a questi attori un robusto kit di strumenti per l'amministrazione e il controllo remoto, facilitando varie attività nefaste come il furto di dati e la manipolazione dei dispositivi. Le sue funzionalità estese includono la cancellazione delle schede SD, l'eliminazione dei registri delle chiamate, l'intercettazione delle notifiche e persino il funzionamento come ransomware.
Sommario
Il RAT Rafael è stato rilevato in numerose campagne di attacco
Gli esperti di sicurezza informatica hanno precedentemente evidenziato l'uso del Rafel RAT da parte di APT-C-35 (noto anche come DoNot Team, Brainworm e Origami Elephant) in attacchi che sfruttavano un difetto di progettazione in Foxit PDF Reader per indurre gli utenti a scaricare payload minacciosi. Questa campagna, avvenuta nell'aprile 2024, ha utilizzato esche PDF a tema militare per diffondere il malware.
Gli esperti hanno identificato circa 120 diverse campagne dannose, tra cui alcune rivolte a entità di alto profilo, in vari paesi come Australia, Cina, Repubblica Ceca, Francia, Germania, India, Indonesia, Italia, Nuova Zelanda, Pakistan, Romania, Russia e Stati Uniti.
La maggior parte delle vittime possedeva telefoni Samsung, seguiti dagli utenti di dispositivi Xiaomi, Vivo e Huawei. In particolare, circa l’87,5% dei dispositivi infetti utilizzavano versioni Android obsolete che non ricevono più aggiornamenti di sicurezza.
Il Rafel RAT può compromettere un'ampia gamma di dati sensibili
Le tipiche catene di attacco implicano tattiche di ingegneria sociale per indurre le vittime a concedere autorizzazioni intrusive alle applicazioni infette da malware. Queste autorizzazioni consentono al malware di raccogliere dati sensibili, tra cui informazioni di contatto, messaggi SMS (come i codici 2FA), posizione, registri delle chiamate ed elenchi di applicazioni installate tra gli altri dati.
Il Rafel RAT utilizza principalmente HTTP(S) per le comunicazioni Command-and-Control (C2), ma può anche utilizzare le API Discord per comunicare con gli autori delle minacce. Inoltre, è dotato di un pannello C2 basato su PHP che gli utenti registrati possono utilizzare per inviare comandi ai dispositivi compromessi.
Gli utenti Android rimangono un bersaglio frequente dei criminali informatici
L'efficacia dello strumento nei confronti dei diversi attori delle minacce è confermata dal suo coinvolgimento in un'operazione ransomware condotta da un aggressore ritenuto proveniente dall'Iran. L'aggressore ha inviato una richiesta di riscatto in arabo tramite SMS, invitando la vittima in Pakistan a contattarla tramite Telegram.
Il Rafel RAT esemplifica il regno in evoluzione del malware Android, distinguendosi per il suo design open source, una gamma completa di funzionalità e un'ampia implementazione in varie attività illecite. Il suo utilizzo diffuso sottolinea l’importanza di una vigilanza continua e di misure di sicurezza proattive per proteggere i dispositivi Android da abusi dannosi.
