Rafel RAT, il malware che colpisce i dispositivi Android

Il malware è stato identificato in operazioni di spionaggio, come sorveglianza remota, esfiltrazione di dati e in attività di ransomware.

Milano 27 giugno 2024 – Check Point Research (CPR) ha identificato diverse campagne che sfruttano Rafel, uno strumento di amministrazione remota (RAT) open-source che colpisce gli smartphone Android (utilizzati da oltre 3,9 miliardi di persone in tutto il mondo).

La vittima viene ingannata attraverso messaggi e/o conversazioni e viene invitata a scaricare applicazioni camuffate da servizi popolari di diversa natura (finanziari, educativi, social media). Installando le applicazioni, il malware viene “iniettato” nel telefono cellulare, consentendo differenti tipi di azioni malevole che vanno dallo spionaggio al ransomware. In un periodo di 2 anni in differenti Paesi sono state registrate oltre 120 campagne che hanno aggirato diverse procedure di sicurezza.

Le campagne hanno compromesso dispositivi Android, principalmente negli Stati Uniti, Cina, Indonesia, Russia, India, Francia, Germania e Regno Unito.

Di seguito i punti principali della ricerca:

• Impatto diffuso: il RAT Rafel è stato utilizzato in oltre 120 campagne, che hanno colpito prevalentemente gli utenti di Stati Uniti, Cina e Indonesia.
• Infezioni dei dispositivi: la maggior parte dei dispositivi compromessi è costituita da telefoni Samsung, Xiaomi, Vivo e Huawei.
• Versioni Android: la maggior parte dei dispositivi colpiti utilizza versioni Android obsolete, evidenziando la necessità di aggiornamenti regolari e patch di sicurezza.
• Differenti minacce: dallo spionaggio al ransomware, le capacità di Rafel RAT includono l’accesso remoto, la sorveglianza, il furto di dati e persino la crittografia dei file delle vittime.
• Casi degni di nota:
  • Compromissione di un sito web governativo: Rafel RAT è stato trovato su un sito web governativo violato in Pakistan, reindirizzando i dispositivi infetti a riferire a questo server.
  • Operazioni di ransomware: casi in cui Rafel RAT è stato utilizzato per criptare i file del dispositivo Android, chiedendo un riscatto per la decriptazione.
  • Bypass di 2FA: il malware è stato anche collegato al furto di messaggi di autenticazione a due fattori, potenzialmente in grado di aggirare questa misura di sicurezza critica.

Raccomandazioni di sicurezza per gli utenti Android:

• Scaricare applicazioni da fonti affidabili. Installare contenuti solo da store affidabili come Google Play, evitando di affidarsi a terze parti.
• Mantenere il software aggiornato. Gli aggiornamenti regolari assicurano che i dispositivi ricevano le patch di sicurezza critiche.
• Utilizzare soluzioni di sicurezza specifiche per il mobile. Le applicazioni di sicurezza affidabili forniscono una protezione in tempo reale contro malware e altre minacce.

Modalità di funzionamento:

Rafel RAT è coinvolto in campagne di phishing. Le vittime vengono ingannate e indotte a installare APK (Android package) malevoli che si nascondono dietro icone e nomi falsi, che richiedono ampie autorizzazioni, visualizzano siti autentici, che cercano di imitare, per poi tracciare segretamente il dispositivo e sottrarne i dati.

Rafel RAT potrebbe essere presente nei seguenti tipi di applicazioni:

• Apps store (Google Store, BlackMart, BlackMart-MOD)
• Social (La Morocha, Instagram, BOOYAH, Black WhatsApp)
• Finanace (PicPay, RM Trade, Mercado Pago)
• Mappe e navigazione (PlamThaiDriver)
• Lifestyle (EHSAN)
• Istruzione (DASNHS)
• Tool (MOTU CC CHECKER, Goxome: Sistema di menu moderno)
• Strumenti di hacking (Reverse Engineering Toolkit, Unlimited Bomber)
• Altro (ScammersExposed, UR RAT, Lite App, BEKU-DANA)

“Rafel RAT ci dà ulteriormente l’opportunità di rimarcare come la tecnologia malware open-source possa causare danni significativi, soprattutto quando prende di mira grandi ecosistemi come Android, con oltre 3,9 miliardi di utenti in tutto il mondo”, afferma Alexander Chailytko, Cyber Security, Research & Innovation Manager di Check Point Software Technologies. “Poiché la maggior parte delle vittime colpite utilizza versioni di Android non supportate, è fondamentale mantenere i propri dispositivi aggiornati con le più recenti correzioni di sicurezza o sostituirli qualora non le ricevano più. I principali attori delle minacce e persino i gruppi APT sono, infatti, sempre alla ricerca di nuove modalità di attacco, soprattutto con strumenti facilmente disponibili come Rafel RAT, che potrebbero portare all’esfiltrazione di dati critici, utilizzando codici di Autenticazione a Due Fattori trapelati, tentativi di sorveglianza e azioni perpetrate segretamente, particolarmente devastanti se utilizzate contro obiettivi di alto profilo.”

***

Segui Check Point Research: 

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies   

X: https://www.twitter.com/checkpointsw  

Facebook: https://www.facebook.com/checkpointsoftware  

Blog: https://blog.checkpoint.com   

YouTube: https://www.youtube.com/user/CPGlobal  

Check Point Research  

Check Point Research fornisce le principali informazioni sulle minacce informatiche ai clienti di Check Point Software e alla più ampia community di intelligence. Il team di ricerca raccoglie e analizza tutti i dati relativi agli attacchi mondiali rilevati da ThreatCloud per tenere a bada gli hacker e garantire che tutti i prodotti Check Point siano aggiornati con le protezioni più recenti. Il team di ricerca è composto da oltre 100 analisti e ricercatori che collaborano con altri vendor di sicurezza, forze dell’ordine e numerosi CERT. 

Check Point Software Technologies Ltd. 

Check Point Software Technologies Ltd. (www.checkpoint.com) è tra i fornitori leader di piattaforme di cyber security basate sull’intelligenza artificiale e cloud delivered che protegge oltre 100.000 organizzazioni a livello globale. Check Point sfrutta la potenza dell’AI, ovunque, per migliorare l’efficienza e l’accuratezza della sicurezza informatica attraverso la sua Infinity Platform, con tassi di identificazione leader nel settore che consentono di anticipare le minacce in modo proattivo e con tempi di risposta più rapidi e smart. La piattaforma completa comprende tecnologie cloud-delivered che consistono in Check Point Harmony per proteggere l’ambiente di lavoro, Check Point CloudGuard per proteggere il cloud, Check Point Quantum per proteggere la rete e Check Point Infinity Core Services per operazioni e servizi di sicurezza collaborativi.