O Rafel RAT busca atingir dispositivos Android
Grupos de espionagem cibernética e outros atores de ameaças estão utilizando uma ferramenta de administração remota Android de código aberto conhecida como Rafel RAT. Disfarçado de aplicativos populares como Instagram, WhatsApp e vários aplicativos de comércio eletrônico e antivírus, o Rafel RAT permite que esses atores mal-intencionados atinjam seus objetivos secretamente.
Table of Contents
Recursos e capacidades
De acordo com uma análise recente da Check Point, o Rafel RAT equipa os invasores com um kit de ferramentas robusto para controle e administração remotos. Essa ferramenta poderosa permite uma ampla gama de atividades maliciosas, desde roubo de dados e manipulação de dispositivos até atuação como ransomware. Entre seus recursos estão a capacidade de limpar cartões SD, excluir registros de chamadas, desviar notificações e executar ataques de ransomware.
Campanhas notáveis e estratégias de ataque
A equipe DoNot, também conhecida como APT-C-35, Brainworm e Origami Elephant, foi identificada como usuária do Rafel RAT em seus ataques cibernéticos. Uma campanha significativa em abril de 2024 explorou uma vulnerabilidade no Foxit PDF Reader, usando iscas de PDF com tema militar para induzir os usuários a baixar o malware. Esta campanha abrangeu vários países, visando entidades de destaque em países como Austrália, China, Alemanha, Índia e Estados Unidos.
Dispositivos alvo e vulnerabilidades
Pesquisas realizadas por fontes conhecidas como CheckPoint destacaram aproximadamente 120 campanhas maliciosas envolvendo Rafel RAT. A maioria desses ataques teve como alvo dispositivos Samsung, seguidos por Xiaomi, Vivo e Huawei. Cerca de 87,5% dos dispositivos comprometidos executavam versões desatualizadas do Android, sem as correções de segurança mais recentes.
Técnicas de Ataque
Os métodos de ataque geralmente envolvem táticas de engenharia social, onde as vítimas são manipuladas para conceder permissões intrusivas a aplicativos com malware. Isso permite que o malware colete dados confidenciais, como informações de contato, mensagens SMS (incluindo códigos 2FA), dados de localização, registros de chamadas e listas de aplicativos instalados.
Comunicações de comando e controle
Rafel RAT usa principalmente HTTP(S) para suas comunicações de comando e controle (C2), mas também pode aproveitar APIs Discord para entrar em contato com os invasores. Além disso, ele vem com um painel C2 baseado em PHP que usuários registrados podem utilizar para emitir comandos para dispositivos comprometidos.
Estudo de caso: operação de ransomware
Um exemplo da eficácia do Rafel RAT é a sua utilização numa operação de ransomware por um atacante provavelmente proveniente do Irão. O invasor enviou uma nota de resgate em árabe via SMS, instando uma vítima no Paquistão a contatá-los pelo Telegram, demonstrando a versatilidade e o alcance da ferramenta.
Rafel RAT exemplifica o cenário em evolução do malware Android, caracterizado por sua natureza de código aberto, amplo conjunto de recursos e uso generalizado em diversas atividades ilícitas. A prevalência do Rafel RAT ressalta a importância da vigilância contínua e de medidas de segurança proativas para proteger os dispositivos Android contra exploração maliciosa.
