Rafel RAT, il malware che colpisce i dispositivi Android

Check Point Research (CPR) ha identificato diverse campagne che sfruttano Rafel, uno strumento di amministrazione remota (RAT) open-source che colpisce gli smartphone Android (utilizzati da oltre 3,9 miliardi di persone in tutto il mondo).

La vittima viene ingannata attraverso messaggi e/o conversazioni e viene invitata a scaricare applicazioni camuffate da servizi popolari di diversa natura (finanziari, educativi, social media). Installando le applicazioni, il malware viene “iniettato” nel telefono cellulare, consentendo differenti tipi di azioni malevole che vanno dallo spionaggio al ransomware. In un periodo di 2 anni in differenti Paesi sono state registrate oltre 120 campagne che hanno aggirato diverse procedure di sicurezza.

Le campagne hanno compromesso dispositivi Android, principalmente negli Stati Uniti, Cina, Indonesia, Russia, India, Francia, Germania e Regno Unito.

Di seguito i punti principali della ricerca:

• Impatto diffuso: il RAT Rafel è stato utilizzato in oltre 120 campagne, che hanno colpito prevalentemente gli utenti di Stati Uniti, Cina e Indonesia.
• Infezioni dei dispositivi: la maggior parte dei dispositivi compromessi è costituita da telefoni Samsung, Xiaomi, Vivo e Huawei.
• Versioni Android: la maggior parte dei dispositivi colpiti utilizza versioni Android obsolete, evidenziando la necessità di aggiornamenti regolari e patch di sicurezza.
• Differenti minacce: dallo spionaggio al ransomware, le capacità di Rafel RAT includono l'accesso remoto, la sorveglianza, il furto di dati e persino la crittografia dei file delle vittime.
• Casi degni di nota:
  • Compromissione di un sito web governativo: Rafel RAT è stato trovato su un sito web governativo violato in Pakistan, reindirizzando i dispositivi infetti a riferire a questo server.
  • Operazioni di ransomware: casi in cui Rafel RAT è stato utilizzato per criptare i file del dispositivo Android, chiedendo un riscatto per la decriptazione.
  • Bypass di 2FA: il malware è stato anche collegato al furto di messaggi di autenticazione a due fattori, potenzialmente in grado di aggirare questa misura di sicurezza critica.

Raccomandazioni di sicurezza per gli utenti Android:

• Scaricare applicazioni da fonti affidabili. Installare contenuti solo da store affidabili come Google Play, evitando di affidarsi a terze parti.
• Mantenere il software aggiornato. Gli aggiornamenti regolari assicurano che i dispositivi ricevano le patch di sicurezza critiche.
• Utilizzare soluzioni di sicurezza specifiche per il mobile. Le applicazioni di sicurezza affidabili forniscono una protezione in tempo reale contro malware e altre minacce.

Modalità di funzionamento: Rafel RAT è coinvolto in campagne di phishing. Le vittime vengono ingannate e indotte a installare APK (Android package) malevoli che si nascondono dietro icone e nomi falsi, che richiedono ampie autorizzazioni, visualizzano siti autentici, che cercano di imitare, per poi tracciare segretamente il dispositivo e sottrarne i dati.

Rafel RAT potrebbe essere presente nei seguenti tipi di applicazioni:

• Apps store (Google Store, BlackMart, BlackMart-MOD)
• Social (La Morocha, Instagram, BOOYAH, Black WhatsApp)
• Finanace (PicPay, RM Trade, Mercado Pago)
• Mappe e navigazione (PlamThaiDriver)
• Lifestyle (EHSAN)
• Istruzione (DASNHS)
• Tool (MOTU CC CHECKER, Goxome: Sistema di menu moderno)
• Strumenti di hacking (Reverse Engineering Toolkit, Unlimited Bomber)
• Altro (ScammersExposed, UR RAT, Lite App, BEKU-DANA)

"Rafel RAT ci dà ulteriormente l’opportunità di rimarcare come la tecnologia malware open-source possa causare danni significativi, soprattutto quando prende di mira grandi ecosistemi come Android, con oltre 3,9 miliardi di utenti in tutto il mondo”, afferma Alexander Chailytko, Cyber Security, Research & Innovation Manager di Check Point Software Technologies. “Poiché la maggior parte delle vittime colpite utilizza versioni di Android non supportate, è fondamentale mantenere i propri dispositivi aggiornati con le più recenti correzioni di sicurezza o sostituirli qualora non le ricevano più. I principali attori delle minacce e persino i gruppi APT sono, infatti, sempre alla ricerca di nuove modalità di attacco, soprattutto con strumenti facilmente disponibili come Rafel RAT, che potrebbero portare all'esfiltrazione di dati critici, utilizzando codici di Autenticazione a Due Fattori trapelati, tentativi di sorveglianza e azioni perpetrate segretamente, particolarmente devastanti se utilizzate contro obiettivi di alto profilo."