Malware usado no Android para espionagem e ransomware é descoberto
Pesquisadores da Check Point Software, uma provedora de soluções cibernéticas, identificaram várias campanhas hackers utilizando o Rafel RAT, uma ferramenta de acesso remoto de código aberto para Android. Esta ferramenta facilita espionagem, exfiltração de dados e ransomware.
Ameaça em Dispositivos Android
Com três quartos dos dispositivos móveis do mundo rodando Android, seu ambiente aberto torna-o um alvo frequente para atividades maliciosas. Segundo a Check Point, o malware Android representa uma grande ameaça à privacidade e segurança dos dados dos usuários. A Check Point Research (CPR), divisão de inteligência em ameaças da empresa, detectou várias campanhas hackers envolvendo o Rafel.
Rafel RAT: Uma Ferramenta Potente
Chailytko, representante da Check Point, destacou que “atacantes, incluindo grupos APT, buscam alavancar operações usando ferramentas como o Rafel RAT, que pode levar à exfiltração crítica de dados e vigilância oculta”. O Rafel RAT possui funcionalidades robustas, como acesso remoto, vigilância, exfiltração de dados e persistência, tornando-se uma ferramenta eficaz para infiltração de alvos de alto valor.
Casos Identificados
A equipe da CPR já havia identificado o grupo APT-C-35/DoNot Team utilizando o Rafel RAT em campanhas anteriores. Durante a pesquisa, os investigadores coletaram diversas amostras de malware e identificaram cerca de 120 servidores de comando e controle (C&C). Os países mais visados foram Estados Unidos, China e Indonésia. A maioria dos dispositivos comprometidos são de marcas como Samsung, Xiaomi, Vivo e Huawei. Versões mais antigas do Android, como a 11, 8 e 5, são as mais afetadas, embora o malware possa operar em todas as versões.
Capacidades do Rafel RAT
As capacidades do Rafel RAT vão desde acesso remoto e vigilância até roubo de dados e criptografia de arquivos. O malware foi encontrado hospedado em um site governamental hackeado no Paquistão, redirecionando dispositivos infectados para servidores maliciosos. Em operações de ransomware, o Rafel RAT foi usado para criptografar arquivos de dispositivos, exigindo resgate para descriptação. O malware também tem sido ligado ao roubo de mensagens de autenticação de dois fatores (2FA), burlando essa medida de segurança.
Métodos de Infecção
O Rafel RAT é frequentemente distribuído através de ataques de phishing, onde vítimas são enganadas a instalar APKs maliciosos disfarçados como aplicativos legítimos. Esses APKs solicitam permissões extensas e imitam sites legítimos, enquanto rastreiam secretamente o dispositivo e vazam dados.
Fonte: Olhar Digital