Desde espionaje a operaciones de ransomware: Rafel RAT, el malware que opera en Android
Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder en soluciones de ciberseguridad en la nube basadas en IA, ha identificado múltiples campañas que aprovechan Rafel RAT, una herramienta de código abierto para dispositivos Android.
El malware se desarrolló para campañas de phishing y utiliza tácticas para engañar al usuario a través de mensajes y/o conversaciones para que instalen APK maliciosas que se disfrazan con un nombre y un icono falsos, solicitan amplios permisos, muestran páginas web legítimas que intenta imitar y luego rastrean de forma secreta el dispositivo para filtrar datos.
Rafel RAT se ha utilizado en más de 120 campañas en un periodo de dos años en distintos países a nivel mundial
Rafel RAT supone una amenaza significativa para la privacidad, la seguridad y la integridad de los datos de los usuarios. Estos programas se presentan en diversas formas, como virus, troyanos, ransomware, spyware y adware. Pueden infiltrarse en los dispositivos a través de múltiples vectores, como descargas de aplicaciones, sitios web maliciosos, ataques de phishing e incluso vulnerabilidades del sistema.
- Sitio web gubernamental comprometido: Rafel RAT se encontró alojada en una página web gubernamental comprometida en Pakistán, que redirigía los dispositivos infectados para que informaran a este servidor.
- Operaciones de ransomware: ha habido casos en los que se ha utilizado Rafel RAT para cifrar archivos de dispositivos y exigir un rescate por el descifrado.
- 2FA Bypass: el malware también ha sido vinculado al robo de mensajes de doble autenticación, que eludía potencialmente esta medida de seguridad crítica.
Los dispositivos atacados han sido, en su mayoría, teléfonos Samsung, Xiaomi, Vivo y Huawei
Rafel RAT ha logrado burlar varios procedimientos de seguridad destinados a mantener a los usuarios de móviles a salvo de los ciberdelincuentes. La mayoría de los dispositivos atacados han sido teléfonos Samsung, Xiaomi, Vivo y Huawei y ejecutan versiones de Android obsoletas, lo que subraya la necesidad de actualizaciones periódicas y parches de seguridad.
Recomendaciones de seguridad para usuarios de Android
- Descargar aplicaciones de fuentes de confianza: instalar solo apps de tiendas de confianza como Google Play. Evitar fuentes de terceros.
- Mantener el software actualizado: las actualizaciones periódicas garantizan que los dispositivos reciban los parches de seguridad básicos.
- Utilizar soluciones de seguridad móvil: las aplicaciones de seguridad de confianza proporcionan protección en tiempo real contra el malware y otras amenazas.
«Rafel RAT nos recuerda cómo la tecnología malware de código abierto puede causar daños significativos, especialmente cuando se dirige a grandes ecosistemas como Android, con más de 3.900 millones de usuarios en todo el mundo”, afirma Alexander Chailytko, director de ciberseguridad, investigación e innovación en Check Point Software. “Es importante mantener los dispositivos actualizados con las últimas versiones de seguridad, ya que los ciberdelincuentes siempre están buscando formas de potenciar sus operaciones, especialmente con herramientas disponibles como Rafel RAT, lo que podría conducir a la filtración de datos críticos”, agregó.