Vários atores de ameaças implantando Rafel RAT de código aberto para dispositivos Android direcionados
Vários atores de ameaças, incluindo grupos de espionagem cibernética, estão empregando uma ferramenta de administração remota Android de código aberto chamada Rafael Rato para atingir seus objetivos operacionais disfarçando-se de Instagram, WhatsApp e vários aplicativos de comércio eletrônico e antivírus.
“Ele fornece aos atores mal-intencionados um package de ferramentas poderoso para administração e controle remoto, permitindo uma série de atividades maliciosas, desde roubo de dados até manipulação de dispositivos”, disse a Test Level em uma análise publicada na semana passada.
Possui uma ampla gama de recursos, como a capacidade de limpar cartões SD, excluir registros de chamadas, desviar notificações e até mesmo atuar como ransomware.
O uso do Rafel RAT pela DoNot Group (também conhecido como APT-C-35, Brainworm e Origami Elephant) foi anteriormente destacado pela empresa israelense de segurança cibernética em ataques cibernéticos que aproveitaram uma falha de design no Foxit PDF Reader para induzir os usuários a baixar cargas maliciosas.
Diz-se que a campanha, que ocorreu em abril de 2024, utilizou iscas de PDF com tema militar para distribuir o malware.
A Test Level disse ter identificado cerca de 120 campanhas maliciosas diferentes, algumas visando entidades de alto perfil, que abrangem vários países como Austrália, China, Chéquia, França, Alemanha, Índia, Indonésia, Itália, Nova Zelândia, Paquistão, Roménia, Rússia e o NÓS
“A maioria das vítimas tinha telefones Samsung, com usuários Xiaomi, Vivo e Huawei constituindo o segundo maior grupo entre as vítimas visadas”, observou, acrescentando que nada menos que 87,5% dos dispositivos infectados estão executando Android desatualizado. versões que não recebem mais correções de segurança.
Cadeias de ataque típicas envolvem o uso de engenharia social para manipular as vítimas para que concedam permissões intrusivas aos aplicativos com malware, a fim de coletar dados confidenciais, como informações de contato, mensagens SMS (por exemplo, códigos 2FA), localização, registros de chamadas e a lista de aplicativos instalados. aplicações, entre outros.
Rafel RAT usa principalmente HTTP(S) para comunicações de comando e controle (C2), mas também pode utilizar APIs Discord para entrar em contato com os atores da ameaça. Ele também vem com um painel C2 baseado em PHP que os usuários registrados podem aproveitar para emitir comandos para dispositivos comprometidos.
A eficácia da ferramenta em vários agentes de ameaças é corroborada pela sua implantação numa operação de ransomware realizada por um atacante provavelmente originário do Irão, que enviou uma nota de resgate escrita em árabe através de um SMS que instava uma vítima no Paquistão a contactá-los no Telegram.
“Rafel RAT é um exemplo potente do cenário em evolução do malware Android, caracterizado por sua natureza de código aberto, extenso conjunto de recursos e utilização generalizada em várias atividades ilícitas”, disse Test Level.
“A prevalência do Rafel RAT destaca a necessidade de vigilância contínua e medidas de segurança proativas para proteger os dispositivos Android contra a exploração maliciosa.”
