El sistema operativo Android es el más popular y utilizado a nivel mundial, con más de 3.900 millones de usuarios activos en más de 190 países. Tres cuartas partes de todos los dispositivos móviles funcionan con Android. Sin embargo, esta adopción generalizada y su entorno abierto conllevan el riesgo de actividad maliciosa. El malware de Android, un software malicioso diseñado para atacar dispositivos Android, representa una amenaza significativa para la privacidad, seguridad e integridad de los datos de los usuarios. Estos programas maliciosos vienen en diversas formas, incluidos virus, troyanos, ransomware, spyware y adware, y pueden infiltrarse en los dispositivos a través de múltiples vectores, como descargas de aplicaciones, sitios web maliciosos, ataques de phishing e incluso vulnerabilidades del sistema.
Check Point Research (CPR) ha identificado múltiples actores de amenazas que utilizan Rafel, una herramienta de administración remota (RAT) de código abierto. El descubrimiento de un grupo de espionaje que utiliza Rafel en sus operaciones fue de particular importancia, ya que indica la eficacia de la herramienta en diversos perfiles de actores de amenazas y objetivos operativos.
En una publicación anterior, identificamos al equipo APT-C-35 / DoNot Team utilizando Rafel RAT. Las características y capacidades de Rafel, como el acceso remoto, la vigilancia, la exfiltración de datos y los mecanismos de persistencia, la convierten en una herramienta potente para llevar a cabo operaciones encubiertas e infiltrarse en objetivos de alto valor.
CPR recopiló múltiples muestras de malware de este RAT de Android y alrededor de 120 servidores de comando y control. Además, realizamos un análisis de las víctimas y encontramos que los países más afectados fueron Estados Unidos, China e Indonesia.
La mayoría de las víctimas tenían teléfonos Samsung, con usuarios de Xiaomi, Vivo y Huawei formando el segundo grupo más grande entre las víctimas. Este resultado corresponde a la popularidad de los dispositivos en varios mercados.
Es intrigante notar la distribución de versiones de Android entre las víctimas más afectadas. Android 11 es el más prevalente, seguido de las versiones 8 y 5. A pesar de la variedad de versiones de Android, el malware generalmente puede operar en todas ellas. Sin embargo, las versiones más nuevas del sistema operativo generalmente presentan más desafíos para que el malware ejecute sus funciones o requieren más acciones por parte de la víctima para ser efectivas.
Algo que observamos constantemente en los bots de Windows es el alto número de infecciones en Windows XP, a pesar de que esta versión alcanzó su fin de vida en 2014. Observamos el mismo escenario en los dispositivos Android infectados. Más del 87% de las víctimas afectadas ejecutan versiones de Android que ya no son compatibles y, en consecuencia, no reciben correcciones de seguridad.
Además, CPR analizó tres casos específicos en profundidad. El primero fue una operación de ransomware en Android en la que el actor de amenazas cifraba los archivos del dispositivo. El segundo caso involucró mensajes de autenticación de dos factores (2FA) filtrados, que podrían posiblemente llevar a un bypass de 2FA, y el último caso fue un actor de amenazas instalando el comando y control de Rafel en un sitio web gubernamental hackeado y dispositivos infectados reportándose a él.
Rafel RAT es un ejemplo potente del panorama en evolución del malware de Android, caracterizado por su naturaleza de código abierto, conjunto de características extensas y utilización generalizada en diversas actividades ilícitas. La prevalencia de Rafel RAT destaca la necesidad de una vigilancia continua y medidas de seguridad proactivas para proteger los dispositivos Android contra la explotación maliciosa. A medida que los ciberdelincuentes continúan utilizando técnicas y herramientas como Rafel RAT para comprometer la privacidad del usuario, robar datos sensibles y perpetrar fraudes financieros, es esencial un enfoque de seguridad móvil de múltiples capas.
Pasos que los usuarios de Android deben seguir para mantenerse seguros:
- Instalar aplicaciones de fuentes confiables: Solo descargue e instale aplicaciones de fuentes confiables como Google Play Store. Evite las tiendas de aplicaciones de terceros y sea cauteloso con las aplicaciones que tienen pocas descargas o malas reseñas. Siempre verifique los permisos y las reseñas de las aplicaciones antes de instalarlas.
- Mantener el software actualizado: Actualice regularmente el sistema operativo Android y las aplicaciones. Las actualizaciones a menudo incluyen parches de seguridad que protegen contra vulnerabilidades recién descubiertas. Habilite las actualizaciones automáticas para asegurarse de recibir las últimas protecciones sin demora.
- Utilizar una aplicación de seguridad móvil confiable: Instale una aplicación de seguridad móvil reputada que ofrezca protección en tiempo real contra el malware. Estas aplicaciones pueden escanear en busca de software malicioso, detectar actividades sospechosas y proporcionar funciones de seguridad adicionales como medidas antirrobo y navegación segura.
Siguiendo los pasos mencionados anteriormente, los usuarios de Android pueden reducir significativamente su riesgo de encontrar malware y mejorar la seguridad de sus dispositivos.
