Directoratul Național pentru Securitate Cibernetică (DNSC) a emis o alertă privind detectarea în România a unui nou tip de malware conceput pentru sistemele Android. Sub denumirea Rafel Remote Access Tool (RAT), acesta conferă atacatorilor capacitatea de a gestiona dispozitivele infectate de la distanță, fără ca proprietarii acestora să fie conștienți de prezența sa. Malware-ul poate evita detecția pentru perioade extinse, ceea ce îi sporește eficiența în cadrul atacurilor. Recent, acesta a fost semnalat ca fiind prezent și în România, conform unui comunicat DNSC.
Rafel RAT reprezintă o amenințare cibernetică majoră, ce poate fi folosită pentru spionaj și atacuri ransomware sofisticate. Evoluția sa de la un simplu instrument de spionaj la un malware multifuncțional reflectă adaptabilitatea și pericolul pe care îl reprezintă pentru utilizatorii de dispozitive cu sistem de operare Android.
Rafel RAT, aplicație dezvoltată în 2021, a câștigat rapid notorietate în rândul infractorilor cibernetici datorită capacităților sale extinse și modului facil de utilizare, generând preocupări serioase atât pentru utilizatorii de platforme Android, cât și pentru experții în securitate cibernetică. A fost utilizat în numeroase atacuri cibernetice în diverse regiuni, cu accent pe frauda financiară și spionajul corporativ.
Rafel RAT a fost dezvoltat și distribuit inițial pentru a obține acces la date sensibile de pe dispozitivele Android infectate, cum ar fi mesaje SMS, jurnale de apeluri, contacte, parole stocate, locații și fișiere media. Malware-ul a fost adaptat ulterior pentru a efectua atacuri de tip ransomware, criptând fișierele utilizatorilor și cerând răscumpărări pentru deblocarea acestora.
Telefoanele fără „update”, atacate
Majoritatea victimelor acestor atacuri au utilizat telefoane Samsung, Xiaomi, Vivo și Huawei, iar 87,5% dintre dispozitivele utilizate aveau un sistem de operare Android depășit ce nu mai beneficia de actualizări de securitate.
În unele atacuri, victimele au fost convinse să instaleze RAT-ul prin intermediul unor aplicații foarte cunoscute (cum ar fi Black WhatsApp, Story Saver for Instagram etc.), aplicații de suport sau soluții antivirus. În alte cazuri, atacurile au avut loc prin email-uri care foloseau tehnici de inginerie socială pentru a convinge destinatarii să deschidă documente atașate sau să acceseze site-uri web infectate, instalând astfel malware-ul pe dispozitivele proprii.
Niciunul dintre aceste atacuri nu necesită acces cu drept de administrator (root), astfel încât acestea operează cu succes pe dispozitive cu sisteme de operare nemodificate. Rafel RAT funcționează foarte bine pe Android 12 și versiunile anterioare, dar au fost înregistrate atacuri reușite și asupra dispozitivelor cu Android versiunea 13.
Metode de distribuție (vectori de atac)
- E-mailuri de tip phishing: Infractorii cibernetici folosesc adesea e-mailuri atent concepute care par a fi din surse legitime, conținând link-uri sau atașamente care, atunci când sunt accesate, duc la instalarea Rafel RAT.
- Site-uri web malițioase: Utilizatorii pot fi înșelați să viziteze site-uri web compromise sau false care exploatează vulnerabilități în sistemul Android sau folosesc tehnici de inginerie socială pentru a convinge utilizatorii să descarce malware-ul.
- Aplicații false: Rafel RAT este frecvent deghizat ca aplicație legitimă, precum actualizări de sistem, jocuri populare sau aplicații utilitare. Acestea sunt distribuite prin magazine de aplicații neoficiale sau link-uri de descărcare directă.
- SMS și conturi de social media: Atacatorii pot folosi mesaje text sau platforme de social media pentru a răspândi link-uri către aplicații sau site-uri web infectate.
Ce poate face aplicația
Odată ce aplicația malițioasă este descărcată, aceasta solicită un set extins de permisiuni de la utilizator. Aceste permisiuni includ adesea acces la contacte, SMS-uri, jurnale de apeluri, cameră, microfon, stocare și date de localizare. Malware-ul poate folosi tactici înșelătoare pentru a convinge utilizatorii să acorde aceste permisiuni, cum ar fi faptul că sunt necesare pentru funcționalitatea aplicației.
- Furt de date: Rafel RAT poate accesa și extrage o gamă largă de date sensibile, cum ar fi: contacte, mesaje SMS (inclusiv coduri 2FA), jurnale de apeluri, istoricul de navigare, parole stocate, informații financiare.
- Înregistrare audio și video: Malware-ul poate activa silențios microfonul și camera dispozitivului pentru a înregistra acțiunile și împrejurimile utilizatorului.
- Capturi de ecran: Poate face capturi de ecran ale dispozitivului, putând extrage informații sensibile precum datele de autentificare (utilizator, parole, PIN-uri).
- Acces la fișiere: Rafel RAT poate naviga și descărca fișiere stocate pe dispozitiv, inclusiv fotografii, documente și copii de siguranță.
- Urmărire GPS: Malware-ul poate monitoriza și raporta locația dispozitivului în timp real.
- Control de la distanță: Atacatorii pot folosi Rafel RAT pentru a executa comenzi pe dispozitivul infectat, prin instalarea unor module suplimentare ale malware-ului sau prin desfășurarea unor acțiuni neautorizate.
- Keylogging: Poate înregistra tastele apăsate, capturând parole și alte date sensibile.
- Manipularea aplicațiilor: Rafel RAT poate lansa aplicații, modifica setările aplicațiilor și chiar dezinstala software-ul de securitate.
- Compatibilitate extinsă: Suport pentru versiuni Android de la v5 la v13, acoperind o gamă largă de dispozitive vulnerabile.
- Evitarea detectării: Evită detecția de către PlayProtect și alte soluții de securitate pentru dispozitivele mobile.
Rafel RAT comunică cu serverele de comandă și control operate de atacatori, această comunicare fiind adesea criptată pentru a evita detectarea de către software-ul de securitate. Serverele C2 pot trimite comenzi către dispozitivele infectate și pot exfiltra datele dorite.
Atacatorii utilizează un panou de control web, care funcționează fără a necesita cunoștințe avansate de programare. Prin intermediul acestei interfețe, atacatorii pot monitoriza și controla dispozitivele mobile infectate și pot decide cu privire la următorii pași ai atacului.
De asemenea, comenzi precum GetContact sau GetSMS le permit atacatorilor accesul la informații personale sensibile existente pe dispozitiv, facilitând furtul de identitate, atacurile de inginerie socială sau exploatarea în continuare a contactelor victimei în scopuri rău intenționate.
Recomandări pentru a rămâne în siguranță
Conștientizarea și măsurile de protecție adecvate sunt importante pentru a preveni infectarea și pierderea datelor. Datorită mecanismelor de protecție specifice, Rafel RAT adesea nu este detectat de software-ul antivirus clasic.
DNSC recomandă implementarea următoarelor măsuri de bază de securitate cibernetică:
- Sporirea vigilenței este principalul atu avut oricând la dispoziție de către un utilizator obișnuit. Manifestați atenție la verificarea e-mailurilor primite, în special a celor care conțin atașamente sau link-uri suspecte!
- Descărcați aplicațiile doar din surse de încredere, folosind doar magazinele oficiale, cum ar fi Google Play Store.
- Analizați cu atenție permisiunile aplicațiilor solicitate la instalare sau la actualizare și fiți precauți la aplicațiile care solicită permisiuni excesive sau inutile.
- Pentru a vă proteja eficient împotriva ransomware, trebuie să vă concentrați în principal pe poarta principală de acces a acestuia: comunicarea prin e-mail. Acestea se ascund adesea sub forma unor fișiere, aparent legitime, ce permit atacatorilor accesul la sistem și rularea unor programe de exfiltrare și/sau criptare a fișierelor de pe dispozitivele compromise.
- Actualizați de urgență sistemele de operare, programele antivirus, browser-ele web, clienții de e-mail și alte programe utilitare.
- Nu ezitați să contactați Directoratul Național de Securitate Cibernetică (DNSC), în cazul în care suspectați că dispozitivele din cadrul entității dumneavoastră au fost compromise sau sunteți victima unui atac cibernetic.