Rafael rata
Varios actores de amenazas, incluidos grupos de ciberespionaje, están utilizando una herramienta de administración remota de Android de código abierto conocida como Rafel RAT. Lo disfrazan como aplicaciones populares como Instagram, WhatsApp y varias aplicaciones antimalware y de comercio electrónico para lograr sus objetivos dañinos.
Rafel RAT proporciona a estos actores un sólido conjunto de herramientas para la administración y el control remotos, facilitando diversas actividades nefastas como el robo de datos y la manipulación de dispositivos. Sus amplias funciones incluyen borrar tarjetas SD, eliminar registros de llamadas, interceptar notificaciones e incluso funcionar como ransomware.
Tabla de contenido
La RAT Rafael fue detectada en numerosas campañas de ataque
Los expertos en ciberseguridad han destacado anteriormente el uso de Rafel RAT por parte de APT-C-35 (también conocido como DoNot Team, Brainworm y Origami Elephant) en ataques que explotaron una falla de diseño en Foxit PDF Reader para engañar a los usuarios para que descargaran cargas útiles amenazantes. Esta campaña, que tuvo lugar en abril de 2024, utilizó señuelos PDF con temática militar para distribuir el malware.
Los expertos han identificado aproximadamente 120 campañas dañinas diferentes, incluidas algunas dirigidas a entidades de alto perfil, en varios países como Australia, China, Chequia, Francia, Alemania, India, Indonesia, Italia, Nueva Zelanda, Pakistán, Rumania, Rusia y Estados Unidos.
La mayoría de las víctimas poseían teléfonos Samsung, seguidas por usuarios de dispositivos Xiaomi, Vivo y Huawei. En particular, alrededor del 87,5% de los dispositivos infectados ejecutaban versiones obsoletas de Android que ya no reciben actualizaciones de seguridad.
Rafel RAT puede comprometer una amplia gama de datos confidenciales
Las cadenas de ataques típicas implican tácticas de ingeniería social para engañar a las víctimas para que concedan permisos intrusivos a aplicaciones infectadas con malware. Estos permisos permiten que el malware recopile datos confidenciales, incluida información de contacto, mensajes SMS (como códigos 2FA), ubicación, registros de llamadas y listas de aplicaciones instaladas, entre otros datos.
Rafel RAT utiliza principalmente HTTP(S) para comunicaciones de comando y control (C2), pero también puede utilizar las API de Discord para comunicarse con actores de amenazas. Además, cuenta con un panel C2 basado en PHP que los usuarios registrados pueden utilizar para emitir comandos a dispositivos comprometidos.
Los usuarios de Android siguen siendo un objetivo frecuente de los ciberdelincuentes
La eficacia de la herramienta entre diferentes actores de amenazas está validada por su participación en una operación de ransomware realizada por un atacante que se cree que es de Irán. El atacante envió una nota de rescate en árabe a través de SMS, instando a una víctima en Pakistán a contactarlos a través de Telegram.
Rafel RAT ejemplifica el ámbito en evolución del malware para Android, que se distingue por su diseño de código abierto, su amplia gama de funciones y su amplia implementación en diversas actividades ilícitas. Su uso generalizado subraya la importancia de una vigilancia continua y medidas de seguridad proactivas para proteger los dispositivos Android de una explotación dañina.
