Rafel RAT
Vários autores de ameaças, incluindo grupos de espionagem cibernética, estão utilizando uma ferramenta de administração remota Android de código aberto conhecida como Rafel RAT. Eles os disfarçam como aplicativos populares como Instagram, WhatsApp e vários aplicativos de comércio eletrônico e antimalware para atingir seus objetivos prejudiciais.
O Rafel RAT fornece a esses atores um kit de ferramentas robusto para administração e controle remoto, facilitando diversas atividades nefastas, como roubo de dados e manipulação de dispositivos. Seus amplos recursos incluem limpeza de cartões SD, exclusão de registros de chamadas, interceptação de notificações e até mesmo funcionamento como ransomware.
Índice
O Rafael RAT foi Detectado em Inúmeras Campanhas de Ataque
Os especialistas em segurança cibernética já destacaram o uso do Rafel RAT pelo APT-C-35 (também conhecido como DoNot Team, Brainworm e Origami Elephant) em ataques que exploraram uma falha de design no Foxit PDF Reader para enganar os usuários e fazê-los baixar cargas ameaçadoras. Esta campanha, que ocorreu em abril de 2024, usou iscas de PDF com tema militar para distribuir o malware.
Os especialistas identificaram aproximadamente 120 campanhas prejudiciais diferentes, incluindo algumas dirigidas a entidades de alto perfil, em vários países, como Austrália, China, Chéquia, França, Alemanha, Índia, Indonésia, Itália, Nova Zelândia, Paquistão, Roménia, Rússia e EUA.
A maioria das vítimas possuía telefones Samsung, seguidas por usuários de dispositivos Xiaomi, Vivo e Huawei. Notavelmente, cerca de 87,5% dos dispositivos infectados executavam versões desatualizadas do Android que não recebem mais atualizações de segurança.
O Rafel RAT pode Comprometer uma Ampla Gama de Dados Confidenciais
Cadeias de ataque típicas envolvem táticas de engenharia social para induzir as vítimas a conceder permissões intrusivas a aplicativos infectados por malware. Essas permissões permitem que o malware colete dados confidenciais, incluindo informações de contato, mensagens SMS (como códigos 2FA), localização, registros de chamadas e listas de aplicativos instalados, entre outros dados.
O Rafel RAT usa principalmente HTTP(S) para comunicações de comando e controle (C2), mas também pode utilizar APIs Discord para se comunicar com atores de ameaças. Além disso, possui um painel C2 baseado em PHP que usuários registrados podem usar para emitir comandos para dispositivos comprometidos.
Os Usuários do Android Continuam sendo um Alvo Frequente dos Cibercriminosos
A eficácia da ferramenta em diferentes atores de ameaças é validada pelo seu envolvimento numa operação de ransomware conduzida por um atacante que se acredita ser do Irão. O invasor enviou uma nota de resgate em árabe via SMS, instando uma vítima no Paquistão a contatá-los por meio do Telegram.
O Rafel RAT exemplifica o domínio em evolução do malware Android, distinguido por seu design de código aberto, ampla gama de recursos e ampla implantação em diversas atividades ilícitas. Seu uso generalizado ressalta a importância da vigilância contínua e de medidas de segurança proativas para proteger os dispositivos Android contra exploração prejudicial.
