Varios actores de amenazas, incluidos grupos de ciberespionaje, están utilizando una herramienta de administración remota (RAT) de código abierto llamada Rafel RAT para cumplir con sus objetivos operativos. Se hacen pasar por aplicaciones legítimas como Instagram, WhatsApp y diversas apps de comercio electrónico y antivirus para infectar dispositivos Android.
Detalles del Rafel RAT
Rafel RAT proporciona a los actores maliciosos un potente conjunto de herramientas para la administración y control remoto de dispositivos Android, permitiendo una variedad de actividades dañinas, desde el robo de datos hasta la manipulación de dispositivos. Según un análisis publicado por Check Point, las características de Rafel RAT incluyen la capacidad de borrar tarjetas SD, eliminar registros de llamadas, capturar notificaciones e incluso actuar como ransomware.
El equipo DoNot (también conocido como APT-C-35, Brainworm y Origami Elephant) ha utilizado Rafel RAT en ciberataques que explotaron una falla de diseño en Foxit PDF Reader para engañar a los usuarios y hacer que descargaran cargas maliciosas. La campaña, que tuvo lugar en abril de 2024, utilizó señuelos en PDF con temática militar para distribuir el malware.
Alcance y Impacto
Check Point identificó alrededor de 120 campañas maliciosas diferentes, algunas dirigidas a entidades de alto perfil, que abarcan varios países, incluyendo Australia, China, República Checa, Francia, Alemania, India, Indonesia, Italia, Nueva Zelanda, Pakistán, Rumania, Rusia y Estados Unidos.
La mayoría de las víctimas tenían teléfonos Samsung, siendo los usuarios de Xiaomi, Vivo y Huawei el segundo grupo más grande entre las víctimas. Cabe destacar que no menos del 87.5% de los dispositivos infectados ejecutan versiones desactualizadas de Android que ya no reciben correcciones de seguridad.
Las cadenas típicas de ataque involucran el uso de ingeniería social para manipular a las víctimas y hacer que otorguen permisos intrusivos a las aplicaciones maliciosas, permitiendo la recopilación de datos sensibles como información de contactos, mensajes SMS (por ejemplo, códigos de 2FA), ubicación, registros de llamadas y la lista de aplicaciones instaladas.
Comunicaciones y Control
Rafel RAT utiliza principalmente HTTP(S) para las comunicaciones de comando y control (C2), pero también puede emplear APIs de Discord para contactar a los actores de amenazas. Además, cuenta con un panel C2 basado en PHP que los usuarios registrados pueden utilizar para emitir comandos a los dispositivos comprometidos.
La efectividad de esta herramienta entre diversos actores de amenazas se confirma por su uso en una operación de ransomware llevada a cabo por un atacante, probablemente originario de Irán, que envió una nota de rescate escrita en árabe a una víctima en Pakistán a través de un SMS, instando a la víctima a contactarlos en Telegram.
Comentarios de los Expertos
Check Point señaló que “Rafel RAT es un ejemplo potente del panorama en evolución del malware en Android, caracterizado por su naturaleza de código abierto, amplio conjunto de funciones y uso generalizado en diversas actividades ilícitas.”
La prevalencia de Rafel RAT destaca la necesidad de una vigilancia continua y medidas de seguridad proactivas para proteger los dispositivos Android contra la explotación maliciosa.