Check Point reveló recientemente que diversos actores de amenazas, incluidos grupos de espionaje cibernético, están utilizando una herramienta de administración remota de Android de código abierto llamada Rafel RAT para llevar a cabo operaciones maliciosas. Esta herramienta se está haciendo pasar por aplicaciones populares como Instagram, WhatsApp, aplicaciones de comercio electrónico y antivirus.
Según Check Point, Rafel RAT otorga a los actores maliciosos un conjunto potente de herramientas para administración y control remoto, lo que les permite llevar a cabo actividades maliciosas como robo de datos y manipulación de dispositivos.
Las funciones de Rafel RAT incluyen la capacidad de borrar tarjetas SD, eliminar registros de llamadas, filtrar notificaciones y actuar como ransomware.
El equipo DoNot, también conocido como APT-C-35, Brainworm y Origami Elephant, ha sido identificado utilizando Rafel RAT en ataques cibernéticos previos. Estos ataques, que se valieron de un defecto en Foxit PDF Reader para engañar a los usuarios y descargar cargas maliciosas, se llevaron a cabo en abril de 2024 y utilizaron señuelos en PDF con temática militar para entregar el malware.
Se informó que alrededor de 120 campañas maliciosas diferentes utilizaron Rafel RAT, algunas de las cuales estaban dirigidas a entidades de alto perfil en países como Australia, China, la República Checa, Francia, Alemania, India, Indonesia, Italia, Nueva Zelanda, Pakistán, Rumania, Rusia y Estados Unidos.
Según Check Point, la mayoría de las víctimas utilizaban teléfonos Samsung, seguidos por usuarios de Xiaomi, Vivo y Huawei. Además, al menos el 87.5% de los dispositivos infectados ejecutaban versiones antiguas de Android que ya no recibían parches de seguridad.
El modus operandi de los ataques de Rafel RAT implica el uso de ingeniería social para manipular a las víctimas y obtener permisos intrusivos para aplicaciones infectadas con malware. Esto les permite recopilar datos sensibles como información de contacto, mensajes SMS, ubicación, registros de llamadas y la lista de aplicaciones instaladas.
Rafel RAT utiliza principalmente HTTP(S) para sus comunicaciones de comando y control (C2), aunque también puede emplear las API de Discord. Además, cuenta con un panel de C2 basado en PHP para que los usuarios registrados puedan enviar comandos a los dispositivos comprometidos.
La eficacia de Rafel RAT se ha puesto de manifiesto en su utilización en una operación de ransomware llevada a cabo por un atacante posiblemente originario de Irán. Este ataque involucró el envío de una nota de rescate en árabe a través de un mensaje de texto (SMS) y urgía a la víctima en Pakistán a contactar al atacante a través de Telegram.
Según Check Point, «Rafel RAT es un ejemplo potente del panorama en evolución del malware de Android, caracterizado por su naturaleza de código abierto, su amplio conjunto de funciones y su amplia utilización en diversas actividades ilícitas.»
En resumen, la prevalencia de Rafel RAT resalta la importancia de la vigilancia continua y las medidas de seguridad proactivas para proteger los dispositivos Android contra la explotación maliciosa.
Vía The Hacker News
