Pesquisadores da Check Point Software, provedora de plataforma cibernética, identificaram várias campanhas hackers utilizando o Rafel RAT, uma ferramenta de acesso remoto (RAT) de código aberto para Android. Esta ferramenta realiza espionagem, exfiltração de dados e ransomware.
Com três quartos dos dispositivos móveis do mundo rodando Android, o sistema é um alvo natural devido à sua ampla adoção e ambiente aberto. A Check Point Research (CPR) identificou várias campanhas hacker utilizando o Rafel, ressaltando a ameaça significativa que o malware Android representa à privacidade e segurança dos usuários.
Em uma divulgação anterior, a equipe da CPR identificou o APT-C-35/DoNot Team utilizando o Rafel RAT. As funcionalidades do Rafel, como acesso remoto, vigilância, exfiltração de dados e persistência, fazem dele uma ferramenta poderosa para operações ocultas e infiltração de alvos de alto valor.
Durante a pesquisa, os investigadores coletaram diversas amostras de malware deste Android RAT e identificaram cerca de 120 servidores de comando e controle (C&C). Os países mais visados foram Estados Unidos, China e Indonésia, com a maioria dos dispositivos comprometidos sendo de marcas como Samsung, Xiaomi, Vivo e Huawei.
As versões do Android mais afetadas pelo Rafel RAT são geralmente as desatualizadas, com o Android 11 sendo o mais predominante, seguido pelas versões 8 e 5. Embora o malware consiga operar em todas as versões, as mais recentes apresentam mais desafios, exigindo mais ações da vítima para que o malware obtenha sucesso.
Capacidades e Impactos
As capacidades do Rafel RAT incluem:
- Acesso remoto
- Vigilância
- Roubo de dados
- Criptografia de arquivos para ransomware
O malware foi encontrado hospedado em um site governamental hackeado no Paquistão, redirecionando dispositivos infectados para um servidor. Em operações de ransomware, o Rafel RAT foi usado para criptografar arquivos de dispositivos, exigindo resgate para descriptação. Ele também foi ligado ao roubo de mensagens de autenticação de dois fatores (2FA), potencialmente burlando essa medida de segurança crítica.
Ataques Phishing
O Rafel RAT também está envolvido em ataques de phishing, onde as vítimas são enganadas para instalar APKs maliciosos disfarçados com nomes e ícones falsos, solicitando permissões extensas, exibindo sites legítimos falsificados e rastreando secretamente o dispositivo para vazar dados.
Como se Proteger
Para se manter seguro, usuários Android devem seguir estas recomendações:
- Instale aplicativos de fontes confiáveis: Utilize a Google Play Store e evite lojas de aplicativos de terceiros. Verifique as permissões e avaliações antes de instalar.
- Mantenha seu sistema operacional e aplicativos atualizados: As atualizações incluem patches de segurança essenciais. Ative a opção de atualizações automáticas.
- Use antivírus confiáveis: Aplicativos de segurança podem detectar malwares, atividades suspeitas e fornecer recursos adicionais como medidas antirroubo e navegação segura.
Seguindo essas práticas, os usuários podem reduzir significativamente o risco de infecção por malware como o Rafel RAT.