Segundo os pesquisadores Antonis Terefos e Bohdan Melnykov da Check Point, o malware Ratel RAT ataca telefones Android desatualizados.
Um malware Android de código aberto chamado ‘Ratel RAT’ é amplamente implantado por vários cibercriminosos para atacar dispositivos desatualizados, alguns com o objetivo de bloqueá-los com um módulo de ransomware que exige pagamento no Telegram.
Malware Ratel RAT ataca telefones Android desatualizados
Os pesquisadores Antonis Terefos e Bohdan Melnykov da Check Point relatam a detecção de mais de 120 campanhas usando o malware Rafel RAT.
Atores de ameaças conhecidos conduzem algumas dessas campanhas, como APT-C-35 (DoNot Team), enquanto em outros casos, o Irã e o Paquistão foram determinados como as origens da atividade maliciosa.
Quanto aos alvos, a Check Point menciona o sucesso no ataque a organizações de alto perfil, incluindo no governo e no sector militar, sendo a maioria das vítimas provenientes dos Estados Unidos, China e Indonésia.
Na maioria das infecções examinadas pela Check Point, as vítimas rodavam uma versão do Android que havia chegado ao fim da vida útil (EoL) e não estava mais recebendo atualizações de segurança, tornando-o vulnerável a falhas conhecidas/publicadas.
São as versões 11 e anteriores do Android, que representaram mais de 87,5% do total. Apenas 12,5% dos dispositivos infectados executam Android 12 ou 13.
Quanto às marcas e modelos direcionados, há uma mistura de tudo, incluindo Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One e dispositivos OnePlus, Vivo e Huawei.
Isso prova que o Ratel RAT é uma ferramenta de ataque eficaz contra uma série de diferentes implementações do Android.
Ataques Ratel RAT
O Ratel RAT se espalha por vários meios, mas os agentes de ameaças normalmente são vistos abusando de marcas conhecidas como Instagram, WhatsApp, plataformas de comércio eletrônico ou aplicativos antivírus para induzir as pessoas a baixar APKs maliciosos.
Durante a instalação, ele solicita acesso a permissões arriscadas, incluindo isenção de otimização de bateria, para poder funcionar em segundo plano.
Os comandos suportados variam de acordo com a variante, mas geralmente incluem o seguinte:
Os mais importantes com base no seu impacto potencial são:
- ransomware : inicia o processo de criptografia de arquivos no dispositivo.
- limpe : Exclui todos os arquivos no caminho especificado.
- LockTheScreen : bloqueia a tela do dispositivo, tornando-o inutilizável.
- sms_oku : vaza todos os SMS (e códigos 2FA) para o servidor de comando e controle (C2).
- location_tracker : vaza a localização do dispositivo ao vivo para o servidor C2.
As ações são controladas a partir de um painel central onde os agentes de ameaças podem acessar informações sobre dispositivos e status e decidir sobre as próximas etapas do ataque.
De acordo com a análise da Check Point, em cerca de 10% dos casos, o comando ransomware foi emitido.
Ataques de ransomware
O módulo ransomware no Rafel RAT foi projetado para executar esquemas de extorsão, assumindo o controle do dispositivo da vítima e criptografando seus arquivos usando uma chave AES predefinida.
Se os privilégios DeviceAdmin forem obtidos no dispositivo, o ransomware ganha controle sobre funções cruciais do dispositivo, como a capacidade de alterar a senha da tela de bloqueio e adicionar uma mensagem personalizada na tela, geralmente a nota de resgate.
Se o usuário tentar revogar privilégios de administrador, o ransomware poderá reagir alterando a senha e bloqueando a tela imediatamente.
Os investigadores da Check Point observaram várias operações de ransomware envolvendo o Rafel RAT, incluindo um ataque do Irão que realizou reconhecimento usando outras capacidades do Ratel RAT antes de executar o módulo de encriptação.
O invasor apagou o histórico de chamadas, mudou o papel de parede para exibir uma mensagem personalizada, bloqueou a tela, ativou a vibração do dispositivo e enviou um SMS contendo a nota de resgate, que pedia à vítima que enviasse uma mensagem no Telegram para “resolver esse problema”.
Para se defender contra esses ataques, evite downloads de APK de fontes duvidosas, não clique em URLs incorporados em e-mails ou SMS e verifique os aplicativos com o Play Protect antes de iniciá-los.