Rafel RAT, un malware que ataca Android pasando por el espionaje hasta operaciones de ransomware

Cuando se trata de dispositivos móviles, Android es el sistema operativo más popular y utilizado con más de 3.900 millones de usuarios activos en más de 190 países. Tres cuartas partes de todos los dispositivos móviles funcionan con Android. Sin embargo, su adopción generalizada y su entorno abierto conllevan el riesgo de actividad maliciosa. El malware para Android, un software malicioso diseñado para atacar dispositivos Android, representa una amenaza importante para la privacidad, la seguridad y la integridad de los datos de los usuarios.

 Estos programas maliciosos se presentan en diversas formas, incluidos virus, troyanos, ransomware, spyware y adware, y pueden infiltrarse en los dispositivos a través de múltiples vectores, como descargas de aplicaciones, sitios web maliciosos, ataques de phishing e incluso vulnerabilidades del sistema en sí.

Check Point Research (CPR) ha identificado múltiples actores de amenazas que utilizan Rafel, una herramienta de administración remota (RAT) de código abierto. El descubrimiento de un grupo de espionaje que aprovechaba Rafel en sus operaciones fue de particular importancia, ya que indica la eficacia de la herramienta en varios perfiles de actores de amenazas y objetivos operativos.

Anteriormente, ya se había identificado “APT-C-35 / DoNot Team” utilizando Rafel RAT. Las características y capacidades de Rafel, como el acceso remoto, la vigilancia, la exfiltración de datos y los mecanismos de persistencia, lo convierten en una herramienta potente para realizar operaciones encubiertas e infiltrarse en objetivos de alto valor.

CPR recopiló múltiples muestras de malware de este RAT de Android y alrededor de 120 servidores de comando y control, encontrando que los países más atacados fueron los Estados Unidos de América, China e Indonesia.

La mayoría de las víctimas tenían teléfonos Samsung, siendo los usuarios de Xiaomi, Vivo y Huawei el segundo grupo más grande entre las víctimas objetivo. Este resultado corresponde a la popularidad de los dispositivos en varios mercados.

Llama la atención la distribución de las versiones de Android entre las víctimas más afectadas. Android 11 es el más frecuente, seguido de las versiones 8 y 5. A pesar de la variedad de versiones de Android, el malware generalmente puede funcionar en todas ellas. Sin embargo, las versiones más nuevas del sistema operativo suelen presentar más desafíos para que el malware ejecute sus funciones o requieren más acciones para ser efectivas.

Ya se había observado que en los bots de Windows es elevado el número de infecciones en Windows XP, a pesar de que esta versión llegó al final de su vida útil en 2014. Observamos el mismo escenario en dispositivos Android infectados. Más del 87% de las víctimas afectadas ejecutan versiones de Android que ya no son compatibles y, en consecuencia, no reciben correcciones de seguridad.

Además, CPR analizó en profundidad tres casos concretos. La primera fue una operación de ransomware de Android en la que el actor de la amenaza cifró los archivos del dispositivo. El segundo fueron mensajes de autenticación de dos factores (2FA) filtrados que posiblemente podrían conducir a una omisión de 2FA, y el último caso fue un actor de amenazas que instaló el comando y control de Rafel en un sitio web gubernamental pirateado y los dispositivos infectados informaron a él.

Rafel RAT es un potente ejemplo del panorama cambiante del malware para Android, caracterizado por su naturaleza de código abierto, su amplio conjunto de funciones y su uso generalizado en diversas actividades ilícitas. La prevalencia de Rafel RAT resalta la necesidad de una vigilancia continua y medidas de seguridad proactivas para proteger los dispositivos Android contra la explotación maliciosa. A medida que los ciberdelincuentes continúan aprovechando técnicas y herramientas como Rafel RAT para comprometer la privacidad del usuario, robar datos confidenciales y perpetrar fraude financiero, es esencial un enfoque de múltiples capas para la seguridad móvil.

Pasos que los usuarios de Android deben seguir para mantenerse seguros:

.Instale aplicaciones de fuentes confiables: descargue e instale aplicaciones únicamente de fuentes confiables como Google Play Store. Evite las tiendas de aplicaciones de terceros y tenga cuidado con las aplicaciones que tienen pocas descargas o malas críticas. Siempre verifique los permisos y las revisiones de la aplicación antes de instalarla.

.Mantenga su software actualizado: actualice periódicamente su sistema operativo y sus aplicaciones Android. Las actualizaciones suelen incluir parches de seguridad que protegen contra vulnerabilidades recién descubiertas. Habilite las actualizaciones automáticas para asegurarse de recibir las últimas protecciones sin demora.

.Utilice una aplicación de seguridad móvil confiable: instale una aplicación de seguridad móvil confiable que ofrezca protección en tiempo real contra malware. Estas aplicaciones pueden buscar software malicioso, detectar actividades sospechosas y proporcionar funciones de seguridad adicionales como medidas antirrobo y navegación segura.

“Si sigue los pasos enumerados anteriormente, los usuarios de Android pueden reducir significativamente el riesgo de encontrar malware y mejorar la seguridad de su dispositivo”, dijo Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.

Harmony Mobile de Check Point evita que el malware se infiltre en los dispositivos móviles al detectar y bloquear la descarga de aplicaciones maliciosas en tiempo real. La exclusiva infraestructura de seguridad de red de Harmony Mobile (protección de red en el dispositivo) le permite adelantarse a las amenazas emergentes.