Gli esperti di Check Point Reseach hanno individuato un malware open source per Android, denominato Rafel RAT, che i cybercriminali del gruppo APT-C-35 (DoNot Team) hanno utilizzato per attività di spionaggio, furto dei dati e attacchi ransomware. Oltre l’87% delle vittime possiede smartphone con vecchie versioni del sistema operativo che non ricevono più aggiornamenti di sicurezza.
Malware potente e molto pericoloso
Rafel RAT viene distribuito in vari modi, ma quello più usato prevede lo sfruttamento di noti brand. I cybercriminali cercano di convincere gli utenti a scaricare APK di false app di WhatsApp, Instagram, servizi di e-commerce o antivirus.
Durante l’installazione vengono chiesti permessi di amministratore che consentono di eseguire varie attività pericolose. Il malware contatta quindi il server remoto, al quale invia le informazioni sul dispositivo e dal quale riceve i comandi da eseguire.
Rafel RAT può accedere a contatti, SMS, cronologia delle chiamate e posizione geografica, inviare messaggi, cancellare file, bloccare lo schermo, copiare file e avviare la cifratura dei file. Si tratta in pratica delle tradizionali funzionalità di spyware e ransomware. L’accesso agli SMS consente di intercettare i codici per l’autenticazione in due fattori degli account.
I cybercriminali possono gestire gli attacchi attraverso un pannello che mostra tutti i dati rubati e permette di eseguire varie azioni. Il malware può aggirare Google Play Protect e mantenere la persistenza (esecuzione automatica all’avvio del dispositivo).
La maggioranza delle vittime sono organizzazioni governative e militari (principalmente in Cina, Stati Uniti e Indonesia). Gli autori degli attacchi potrebbero essere di origine iraniana.
Ti potrebbe interessare
23 giu 2024