24 de junio de 2024Sala de prensaSeguridad móvil/Inteligencia de amenazas Múltiples actores de amenazas, incluidos grupos de ciberespionaje, están empleando una herramienta de administración remota de Android de código abierto llamada Rafel RAT para cumplir sus objetivos operativos haciéndola pasar por Instagram, WhatsApp y varios correos electrónicos. Aplicaciones comerciales y antivirus. «Proporciona a los actores maliciosos un poderoso conjunto de herramientas para la administración y el control remotos, lo que permite una variedad de actividades maliciosas, desde el robo de datos hasta la manipulación de dispositivos», dijo Check Point en un análisis publicado la semana pasada. Cuenta con una amplia gama de funciones, como la capacidad de borrar tarjetas SD, eliminar registros de llamadas, desviar notificaciones e incluso actuar como ransomware. El uso de Rafel RAT por parte de DoNot Team (también conocido como APT-C-35, Brainworm y Origami Elephant) fue destacado anteriormente por la compañía de ciberseguridad israelí en ataques cibernéticos que aprovecharon una falla de diseño en Foxit PDF Reader para engañar a los usuarios para que descargaran cargas útiles maliciosas. Se dice que la campaña, que tuvo lugar en abril de 2024, utilizó señuelos PDF con temática militar para distribuir el malware. Check Point dijo que identificó alrededor de 120 campañas maliciosas diferentes, algunas dirigidas a entidades de alto perfil, que abarcan varios países como Australia, China, Chequia, Francia, Alemania, India, Indonesia, Italia, Nueva Zelanda, Pakistán, Rumania, Rusia y el «La mayoría de las víctimas tenían teléfonos Samsung, siendo los usuarios de Xiaomi, Vivo y Huawei el segundo grupo más grande entre las víctimas objetivo», señaló, añadiendo que nada menos que el 87,5% de los dispositivos infectados están desactualizados. Versiones de Android que ya no reciben correcciones de seguridad. Las cadenas de ataques típicas implican el uso de ingeniería social para manipular a las víctimas para que otorguen permisos intrusivos a las aplicaciones cargadas de malware con el fin de aspirar datos confidenciales como información de contacto, mensajes SMS (por ejemplo, códigos 2FA), ubicación, registros de llamadas y la lista de aplicaciones instaladas. aplicaciones, entre otras. Rafel RAT utiliza principalmente HTTP(S) para comunicaciones de comando y control (C2), pero también puede utilizar las API de Discord para contactar a los actores de amenazas. También viene con un panel C2 basado en PHP que los usuarios registrados pueden aprovechar para emitir comandos a dispositivos comprometidos. La efectividad de la herramienta entre varios actores de amenazas se ve corroborada por su implementación en una operación de ransomware llevada a cabo por un atacante probablemente originario de Irán, quien envió una nota de rescate escrita en árabe a través de un SMS que instaba a una víctima en Pakistán a contactarlos en Telegram. «Rafel RAT es un potente ejemplo del panorama cambiante del malware para Android, caracterizado por su naturaleza de código abierto, amplio conjunto de funciones y uso generalizado en diversas actividades ilícitas», afirmó Check Point. «La prevalencia de Rafel RAT resalta la necesidad de una vigilancia continua y medidas de seguridad proactivas para proteger los dispositivos Android contra la explotación maliciosa». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.