Check Point Research (CPR) ha identificato diversi attori di minacce che stanno utilizzando il malware open source Rafel RAT per lanciare massicci attacchi contro smartphone Android obsoleti. Questo malware, che combina le funzionalità di ransomware e spyware, è capace di crittografare o cancellare dati, bloccare lo schermo del dispositivo e chiedere un riscatto tramite Telegram.
In una precedente pubblicazione, CPR aveva già evidenziato il gruppo APT-C-35, noto anche come DoNot, per l’uso di Rafel RAT. Le capacità di Rafel, tra cui l’accesso remoto, la sorveglianza, l’esfiltrazione dei dati e i meccanismi di persistenza, lo rendono uno strumento potente per operazioni clandestine e per infiltrarsi in obiettivi di alto valore.
Gli esperti di CPR ha raccolto numerosi campioni di malware di questo RAT per Android e circa 120 server di comando e controllo. L’analisi delle vittime ha rivelato che i paesi più colpiti erano gli Stati Uniti, la Cina e l’Indonesia. La maggior parte delle vittime utilizzava telefoni Samsung, seguiti dagli utenti di Xiaomi, Vivo e Huawei, riflettendo la popolarità di questi dispositivi nei rispettivi mercati.
La distribuzione delle versioni Android tra le vittime ha mostrato una predominanza di Android 11, seguita dalle versioni 8 e 5. Nonostante il malware possa operare su tutte le versioni, le versioni più recenti del sistema operativo presentano sfide maggiori per l’esecuzione del malware o richiedono più azioni da parte delle vittime per essere efficaci. Un parallelismo interessante è stato osservato con i bot di Windows, dove un numero elevato di infezioni continua a colpire Windows XP, nonostante sia fuori supporto dal 2014. Analogamente, oltre l’87% delle vittime Android utilizza versioni non più supportate, esponendosi a maggiori rischi di sicurezza.
CPR ha approfondito tre casi specifici:
- Un’operazione di ransomware Android in cui l’attaccante ha criptato i file del dispositivo.
- La compromissione di messaggi di autenticazione a due fattori (2FA) che avrebbero potuto permettere il bypass della 2FA.
- L’installazione del comando e controllo Rafel su un sito web governativo compromesso, con dispositivi infetti che si collegavano al server.
Rafel RAT rappresenta un esempio significativo del panorama in evoluzione del malware Android, caratterizzato dalla sua natura open source, dall’ampio set di funzionalità e dal suo utilizzo diffuso in attività illecite. Questa prevalenza sottolinea la necessità di vigilanza continua e di misure di sicurezza proattive per proteggere i dispositivi Android. Con i criminali informatici che continuano a sfruttare strumenti come Rafel RAT per compromettere la privacy, rubare dati sensibili e perpetrare frodi finanziarie, un approccio di sicurezza mobile multilivello è essenziale per salvaguardare gli utenti.