Più Attori di Minacce Utilizzano Rafel RAT Open-Source per Prendere di Mira Dispositivi Android
Diversi attori di minacce, inclusi gruppi di spionaggio informatico, stanno impiegando uno strumento di amministrazione remota open-source per Android chiamato Rafel RAT per raggiungere i loro obiettivi operativi, mascherandolo come app popolari come Instagram, WhatsApp e varie app di e-commerce e antivirus.
“Fornisce agli attori malintenzionati un potente toolkit per l’amministrazione e il controllo remoto, consentendo una gamma di attività dannose, dal furto di dati alla manipolazione dei dispositivi,” ha affermato Check Point in un’analisi pubblicata la scorsa settimana.
Caratteristiche di Rafel RAT
Rafel RAT vanta una vasta gamma di funzionalità, tra cui la possibilità di cancellare schede SD, eliminare registri delle chiamate, sifonare notifiche e persino agire come ransomware.
L’uso di Rafel RAT da parte del DoNot Team (noto anche come APT-C-35, Brainworm e Origami Elephant) era stato precedentemente evidenziato dalla società di cybersecurity israeliana in attacchi informatici che sfruttavano un difetto di progettazione in Foxit PDF Reader per ingannare gli utenti a scaricare payload dannosi. La campagna, che ha avuto luogo nell’aprile 2024, avrebbe utilizzato esche PDF a tema militare per distribuire il malware.
Check Point ha identificato circa 120 diverse campagne dannose, alcune delle quali hanno preso di mira entità di alto profilo, che si estendono in vari paesi come Australia, Cina, Repubblica Ceca, Francia, Germania, India, Indonesia, Italia, Nuova Zelanda, Pakistan, Romania, Russia e Stati Uniti.
Obiettivi e Vittime
“La maggior parte delle vittime aveva telefoni Samsung, con utenti Xiaomi, Vivo e Huawei che costituivano il secondo gruppo più grande tra le vittime prese di mira,” ha osservato, aggiungendo che non meno dell’87,5% dei dispositivi infetti eseguono versioni di Android non aggiornate che non ricevono più correzioni di sicurezza.
Le catene di attacco tipiche coinvolgono l’uso dell’ingegneria sociale per manipolare le vittime a concedere permessi intrusivi alle app infette da malware al fine di aspirare dati sensibili come informazioni di contatto, messaggi SMS (ad esempio, codici 2FA), posizione, registri delle chiamate e l’elenco delle applicazioni installate, tra gli altri.
Comunicazione e Controllo
Rafel RAT utilizza principalmente HTTP(S) per le comunicazioni di comando e controllo (C2), ma può anche utilizzare le API di Discord per contattare gli attori delle minacce. Dispone inoltre di un pannello C2 basato su PHP che gli utenti registrati possono utilizzare per inviare comandi ai dispositivi compromessi.
Operazioni di Ransomware
L’efficacia dello strumento tra vari attori di minacce è corroborata dal suo impiego in un’operazione di ransomware condotta da un attaccante probabilmente proveniente dall’Iran, che ha inviato una nota di riscatto scritta in arabo tramite un SMS che sollecitava una vittima in Pakistan a contattarli su Telegram.
“Rafel RAT è un potente esempio dell’evoluzione del panorama del malware Android, caratterizzato dalla sua natura open-source, dall’ampio set di funzionalità e dall’utilizzo diffuso in varie attività illecite,” ha affermato Check Point.
“La prevalenza di Rafel RAT evidenzia la necessità di una vigilanza continua e di misure di sicurezza proattive per proteggere i dispositivi Android dallo sfruttamento dannoso.”