Rafel RAT, malware Android con modulo ransomware che prende di mira (anche) dispositivi obsoleti

Rafel RAT, malware Android con modulo ransomware che prende di mira (anche) dispositivi obsoleti

I ricercatori Check Point hanno analizzato una nuova minaccia per Android, con numerose funzioni e un modulo ransomware. Anche se prende di mira principalmente dispositivi obsoleti, può funzionare anche su smartphone aggiornati

di pubblicata il , alle 10:05 nel canale Sicurezza
Android
 

Rafel RAT è un malware per Android che prende di mira principalmente dispositivi obsoleti. Il malware è stato analizzato dai ricercatori Antonis Terefos e Bohdan Melnykov di Check Point, che hanno individuato più di 120 campagne che sfruttano Rafel RAT.

Un dato allarmante emerso dall'analisi di Check Point rivela che oltre l'87,5% dei dispositivi infetti esegue Android 11 o versioni precedenti, ormai giunte a fine ciclo di vita (EoL) e quindi completamente prive della possibilità di ricevere aggiornamenti di sicurezza. Solo il 12,5% dei dispositivi colpiti utilizza Android 12 o 13.


Fonte: Check Point Research

Il malware è utilizzato per lo più per bloccare i dispositivi che infetta, sfruttando un modulo ransomware e inviando successiva richiesta di riscatto tramite Telegram. Tra gli attori di minaccia ad usare Rafel RAT vi sono anche gruppi noti come APT-C-35 (DoNot Team), mentre in altri casi l'origine delle operazioni è stata ricondotta a Iran e Pakistan. L'analisi di Check Point indica che le vittime di queste campagne comprendono realtà di alto profilo, con particolare attenzione ai settori governativo e militare. La maggior parte dei bersagli si trova negli Stati Uniti, in Cina e in Indonesia. 

Rafel RAT viene diffuso sfruttando varie modalità, anche se quella più frequente è l'abuso a scopo phishing di marchi conosciuti come Instagram, WhatsApp, piattaforme di e-commerce o applicazioni antivirus. In questo modo si cerca di ingannare l'utente ed indurlo a scaricare APK dannosi, quando crede invece di avere a che fare con risorse del tutto legittime. Durante l'installazione, il malware richiede numerosi permessi che consentono un controllo pressoché completo del disposiotivo, compresa l'esenzione dall'ottimizzazione della batteria per poter operare in background. Una volta che il dispositivo è compromesso, Rafel RAT si collega ad un server command&control da cui gli operatori possono monitorare lo stato del dispositivo e decidere le azioni da compiere.

Le funzionalità a disposizione di Rafel RAT sono numerose, e le più pericolose prevedono la crittografia di tutti i file presenti sul dispositivo, la capacità di eliminare tutti i file in un percorso specifico, la possibilità di bloccare lo schermo dello smartphone, l'intercettazione e la trasmissione di SMS al server C2 a scopo di attacchi -in-the-Middle e il tracciamento in tempo reale della posizione geografica del dispositivo.  Check Point ha rilevato che nel 10% circa dei casi di compromissione è stato utilizzato il modulo ransomware.

Gli analisti Check Point hanno illustrato un caso reale di attacco ransomware eseguito con Rafel RAT e proveniente dall'Iran. Dopo la compromissione, l'aggressore ha prima condotto un'analisi del dispositivo, per attivare successivamente il modulo ransomware. A questo punto è stata effettuata la cancellazione dell'elenco delle chiamate, la modifica dello sfondo per mostrare un messaggio personalizzato, il blocco dello schermo, l'attivazione della vibrazione del dispositivo e infine l'invio di un SMS con la richiesta di riscatto, invitando la vittima a contattare su Telegram gli aggressori per "risolvere il problema".


Fonte: Check Point Research

Dall'analisi di Check Point emerge inoltre come Rafel RAT non abbia particolari "preferenze" tra marchi o modelli di smartphone, dimostrandosi efficace contro svariate implementazioni di Android dei maggiori brand presenti sul mercato.

Rafel RAT, come dicevamo, prende di mira principalmente i dispositivi obsoleti ma può essere efficacemente utilizzato anche con smartphone aggiornati. Come sempre il modo migliore per proteggersi da questo genere di pericoli passa dall'evitare di scaricare APK da fonti non affidabili, prestare la massima attenzione ai link presenti all'interno di SMS, e-mail e messaggi e utilizzare Google Play Protect per verificare l'integrità delle applicazioni.

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TorettoMilano25 Giugno 2024, 10:15 #1
e con la possibilità futura di infettare pure gli iphone europei si ingegneranno sempre più questi criminali
gd350turbo25 Giugno 2024, 10:34 #2
Originariamente inviato da: TorettoMilano
e con la possibilità futura di infettare pure gli iphone europei si ingegneranno sempre più questi criminali


Bè essendo target mirati specialmente a personaggi di un certo livello, per appunto sperare di prendere su qualcosa (se vai a infettare il cellulare della siura maria non credo che ricavi un cent), gli iphoniani sono un target ambito !
gomax25 Giugno 2024, 10:40 #3
Sempre con una costante: "... scaricare APK dannosi... Durante l'installazione, il malware richiede numerosi permessi che consentono un controllo pressoché completo del dispositivo..."
L'uso dello smartphone andrebbe concesso solo dopo un mini corso di sicurezza OBBLIGATORIO.

Ciao
gd350turbo25 Giugno 2024, 10:46 #4
Originariamente inviato da: gomax
Sempre con una costante: "... scaricare APK dannosi... Durante l'installazione, il malware richiede numerosi permessi che consentono un controllo pressoché completo del dispositivo..."
L'uso dello smartphone andrebbe concesso solo dopo un mini corso di sicurezza OBBLIGATORIO.

Ciao


Come non essere d'accordo, adesso il RAT prende di mira le versioni vecchie perchè avevano meno controllo sui permessi, ma l'android 14 attuale ti chiede il permesso per fare qualsiasi cosa, se non leggi e clicchi avanti/avanti/avanti eh bè chi è causa del proprio mal...
Nui_Mg25 Giugno 2024, 10:47 #5
Originariamente inviato da: gomax
Sempre con una costante: "... scaricare APK dannosi... Durante l'installazione, il malware richiede numerosi permessi che consentono un controllo pressoché completo del dispositivo..."
L'uso dello smartphone andrebbe concesso solo dopo un mini corso di sicurezza OBBLIGATORIO.

Ma appunto.
TorettoMilano25 Giugno 2024, 10:49 #6
Originariamente inviato da: gomax
Sempre con una costante: "... scaricare APK dannosi... Durante l'installazione, il malware richiede numerosi permessi che consentono un controllo pressoché completo del dispositivo..."
L'uso dello smartphone andrebbe concesso solo dopo un mini corso di sicurezza OBBLIGATORIO.

Ciao


diversi utenti del forum, io compreso, hanno ammesso di aver ingenuamente attivato servizi a pagamento. quando hai mille insidie può succedere una volta commetti un errore, detto questo sicuramente una formazione sulla sicurezza può solo far bene
gd350turbo25 Giugno 2024, 11:12 #7
Originariamente inviato da: TorettoMilano
diversi utenti del forum, io compreso, hanno ammesso di aver ingenuamente attivato servizi a pagamento. quando hai mille insidie può succedere una volta commetti un errore, detto questo sicuramente una formazione sulla sicurezza può solo far bene


E ridaiie...

Ripetiamo per la millesima volta:

I servizi a pagamento che citi, sono quelli che tanti anni fa venivano applicati da società fraudolente con complicità delle compagnie telefoniche.
Non c'era nessun "ingenuamente" perchè venivano attivati questi servizi a pagamento tramite tecniche fraudolente, senza che l'utente faccia alcunchè...
Mi sono trovato anch'io 5 euro per un servizio di oroscopo, che sono più sicuro del sorgere del sole alla mattina di non aver attivato ed infati mi fu stornato dalla compagnia telefonica.
Poi sono andati a rompere i maroni a qualcuno di importante, che ha messo fine a questa cosa.

Ma installare un app, concedendo tutti i permessi che richiede, con questa cosa non centra nulla, so che tu ti diverti a scriverlo, ma io lo ripeterò ogni volta.

una persona tempo fa scrisse una cosa assai giusta:
Originariamente inviato da: Lexan
Ma evita di fare figure grottesche parlando di cose che non conosci minimamente come funzionano.


dagli retta, ha ragione !
UtenteHD25 Giugno 2024, 14:42 #8
Grazie mille per l'informazione.
Ma non e' naturale che prendano di mira i sistemi obsoleti e non piu' aggiornati di cui tutti quelli del mestiere conoscono i bug, ecc..?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^