El Rafel RAT busca apuntar a dispositivos Android
Los grupos de ciberespionaje y otros actores de amenazas están utilizando una herramienta de administración remota de Android de código abierto conocida como Rafel RAT. Disfrazado de aplicaciones populares como Instagram, WhatsApp y varias aplicaciones antivirus y de comercio electrónico, Rafel RAT permite a estos actores maliciosos lograr sus objetivos de forma encubierta.
Table of Contents
Características y capacidades
Según un análisis reciente de Check Point, Rafel RAT equipa a los atacantes con un sólido conjunto de herramientas para control y administración remotos. Esta poderosa herramienta permite una amplia gama de actividades maliciosas, que van desde el robo de datos y la manipulación de dispositivos hasta actuar como ransomware. Entre sus características se encuentra la capacidad de borrar tarjetas SD, eliminar registros de llamadas, desviar notificaciones y ejecutar ataques de ransomware.
Campañas y estrategias de ataque notables
El equipo DoNot, también conocido como APT-C-35, Brainworm y Origami Elephant, ha sido identificado como usuario de Rafel RAT en sus ciberataques. Una campaña importante en abril de 2024 aprovechó una vulnerabilidad en Foxit PDF Reader, utilizando señuelos PDF con temática militar para engañar a los usuarios para que descargaran el malware. Esta campaña abarcó varios países y se dirigió a entidades de alto perfil en naciones como Australia, China, Alemania, India y Estados Unidos.
Dispositivos de destino y vulnerabilidades
La investigación realizada por fuentes conocidas como CheckPoint ha destacado aproximadamente 120 campañas maliciosas que involucran a Rafel RAT. La mayoría de estos ataques se dirigieron a dispositivos Samsung, seguidos de Xiaomi, Vivo y Huawei. Un 87,5% de los dispositivos comprometidos ejecutaban versiones de Android obsoletas y carecían de las últimas correcciones de seguridad.
Técnicas de ataque
Los métodos de ataque a menudo implican tácticas de ingeniería social, donde se manipula a las víctimas para que otorguen permisos intrusivos a aplicaciones con malware. Esto permite que el malware recopile datos confidenciales, como información de contacto, mensajes SMS (incluidos códigos 2FA), datos de ubicación, registros de llamadas y listas de aplicaciones instaladas.
Comunicaciones de comando y control
Rafel RAT utiliza principalmente HTTP(S) para sus comunicaciones de comando y control (C2), pero también puede aprovechar las API de Discord para contactar a los atacantes. Además, viene con un panel C2 basado en PHP que los usuarios registrados pueden utilizar para emitir comandos a dispositivos comprometidos.
Estudio de caso: operación de ransomware
Un ejemplo de la eficacia de Rafel RAT es su uso en una operación de ransomware por parte de un atacante probablemente de Irán. El atacante envió una nota de rescate en árabe a través de SMS, instando a una víctima en Pakistán a contactarla a través de Telegram, mostrando la versatilidad y el alcance de la herramienta.
Rafel RAT ejemplifica el panorama cambiante del malware para Android, caracterizado por su naturaleza de código abierto, su amplio conjunto de funciones y su uso generalizado en diversas actividades ilícitas. La prevalencia de Rafel RAT subraya la importancia de una vigilancia continua y medidas de seguridad proactivas para proteger los dispositivos Android de la explotación maliciosa.
