Il Rafel RAT cerca di prendere di mira i dispositivi Android
Gruppi di spionaggio informatico e altri autori di minacce utilizzano uno strumento di amministrazione remota Android open source noto come Rafel RAT. Travestito da applicazioni popolari come Instagram, WhatsApp e varie app di e-commerce e antivirus, Rafel RAT consente a questi autori malintenzionati di raggiungere i loro obiettivi di nascosto.
Table of Contents
Caratteristiche e capacità
Secondo una recente analisi di Check Point, Rafel RAT fornisce agli aggressori un robusto toolkit per il controllo e l’amministrazione remota. Questo potente strumento consente un'ampia gamma di attività dannose, che vanno dal furto di dati e manipolazione dei dispositivi all'azione di ransomware. Tra le sue funzionalità ci sono la possibilità di cancellare le schede SD, eliminare i registri delle chiamate, sottrarre notifiche ed eseguire attacchi ransomware.
Campagne notevoli e strategie di attacco
Il team DoNot, noto anche come APT-C-35, Brainworm e Origami Elephant, è stato identificato come utente di Rafel RAT nei loro attacchi informatici. Una campagna significativa nell’aprile 2024 ha sfruttato una vulnerabilità in Foxit PDF Reader, utilizzando esche PDF a tema militare per indurre gli utenti a scaricare il malware. Questa campagna ha abbracciato diversi paesi, prendendo di mira entità di alto profilo in nazioni come Australia, Cina, Germania, India e Stati Uniti.
Dispositivi target e vulnerabilità
Una ricerca condotta da fonti ben note come CheckPoint ha evidenziato circa 120 campagne dannose che coinvolgono Rafel RAT. La maggior parte di questi attacchi ha preso di mira i dispositivi Samsung, seguiti da Xiaomi, Vivo e Huawei. Circa l'87,5% dei dispositivi compromessi utilizzavano versioni Android obsolete, prive delle ultime soluzioni di sicurezza.
Tecniche di attacco
I metodi di attacco spesso implicano tattiche di ingegneria sociale, in cui le vittime vengono manipolate per concedere autorizzazioni intrusive alle app contenenti malware. Ciò consente al malware di raccogliere dati sensibili come informazioni di contatto, messaggi SMS (inclusi i codici 2FA), dati sulla posizione, registri delle chiamate ed elenchi di applicazioni installate.
Comunicazioni di comando e controllo
Rafel RAT utilizza principalmente HTTP(S) per le sue comunicazioni di comando e controllo (C2), ma può anche sfruttare le API Discord per contattare gli aggressori. Inoltre, viene fornito con un pannello C2 basato su PHP che gli utenti registrati possono utilizzare per inviare comandi ai dispositivi compromessi.
Caso di studio: operazione ransomware
Un esempio dell'efficacia di Rafel RAT è il suo utilizzo in un'operazione ransomware da parte di un aggressore probabilmente proveniente dall'Iran. L'aggressore ha inviato una richiesta di riscatto in arabo tramite SMS, esortando una vittima in Pakistan a contattarla su Telegram, dimostrando la versatilità e la portata dello strumento.
Rafel RAT esemplifica il panorama in evoluzione del malware Android, caratterizzato dalla sua natura open source, da un ampio set di funzionalità e dall'uso diffuso in varie attività illecite. La prevalenza di Rafel RAT sottolinea l’importanza di una vigilanza continua e di misure di sicurezza proattive per proteggere i dispositivi Android dallo sfruttamento dannoso.
