Imagem ilustrativa – Crédito Imagem de Gerd Altmann por Pixabay
Pesquisadores da Check Point Software identificaram
várias campanhas que utilizam o Rafel RAT, uma ferramenta de acesso remoto de
código aberto direcionada a smartphones Android para operações de espionagem
com vigilância remota, exfiltração de dados e ransomware
Quando
se trata de dispositivos móveis, o Android é o sistema operacional mais popular
no mundo e usado por mais de
3,9 bilhões de usuários ativos em mais de 190 países. O Brasil com a China,
Índia, Estados Unidos e a Rússia são os países que têm o maior
número de assinantes de celulares.
Três
quartos de todos os dispositivos móveis rodam Android. No entanto, com sua
ampla adoção e ambiente aberto, vem o risco de atividades maliciosas. O Malware
Android, um software malicioso projetado para atingir dispositivos Android
representa uma ameaça significativa à privacidade, segurança e integridade dos
dados dos usuários.
Esses
programas maliciosos surgem em várias formas, incluindo vírus, trojans,
ransomware, spyware e adware, e podem se infiltrar nos dispositivos por meio de
diversos vetores, como downloads de aplicativos, sites maliciosos, ataques de
phishing e até vulnerabilidades do sistema.
A
Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, identificou
várias campanhas que utilizam o Rafel, uma ferramenta de acesso remoto, ou em
inglês Remote Access Trojan (RAT), de código aberto direcionada a dispositivos
Android.
A
descoberta de um grupo de espionagem que usa o Rafel RAT em suas operações foi
particularmente significativa, pois indica a eficácia da ferramenta em diversos
perfis de atores de ameaças e objetivos operacionais.
"O
Rafel RAT é mais um lembrete de como a tecnologia de malware de código aberto
pode causar danos significativos, especialmente quando mira grandes
ecossistemas como o Android, com quase 4 bilhões de usuários mundialmente. Como
a maioria das vítimas afetadas está rodando versões Android não suportadas, é
fundamental que elas mantenham seus dispositivos atualizados com as correções
de segurança mais recentes ou substituí-las se não estiverem mais recebendo
atualizações”, alerta Alexander Chailytko, gerente de Pesquisa e Inovação em
Segurança Cibernética da Check Point Software.
Ele
complementa que “os atacantes, e até grupos APT, estão sempre buscando maneiras
de alavancar suas operações, especialmente com ferramentas prontamente
disponíveis como o Rafel RAT, o que pode levar a exfiltração crítica de dados,
usando códigos de autenticação de dois fatores vazados, tentativas de
vigilância e operações encobertas, que são particularmente devastadoras quando
usadas contra alvos de alto perfil".
Em
uma divulgação
anterior, a equipe da CPR identificou o APT-C-35 / DoNot Team utilizando o
Rafel RAT. As funcionalidades e capacidades do Rafel, como acesso remoto, vigilância,
exfiltração de dados e mecanismos de persistência, o tornam uma ferramenta
potente para conduzir operações ocultas e infiltrar alvos de alto valor.
Os
pesquisadores da CPR coletaram várias amostras de malware deste Android RAT e
cerca de 120 servidores de comando e controle (C&C) e verificaram que os
países mais visados foram
os Estados Unidos, a China e a Indonésia.
 |
| Dispositivos infectados por país |
Descobriram também que a maioria dos dispositivos comprometidos são Samsung, Xiaomi, Vivo e Huawei, refletindo a dominância dessas marcas no mercado.
 |
| Dispositivos das Vítimas |
Outros pontos principais destacados no relatório da Check Point Research são:
-
Versões Android: A maioria dos dispositivos afetados roda versões
desatualizadas do Android, destacando a necessidade de atualizações e patches
de segurança regulares. O Android 11 é o mais predominante, seguido pelas
versões 8 e 5. Apesar da variedade de versões do Android, o malware geralmente
pode operar em todas. No entanto, as versões mais recentes do sistema
operacional normalmente apresentam mais desafios para o malware executar suas
funções ou exigem mais ações da vítima para serem eficazes.
-
Ameaças Diversas: Desde espionagem até ransomware, as capacidades do Rafel RAT
incluem acesso remoto, vigilância, roubo de dados e até criptografia de
arquivos das vítimas.
-
Casos: o Rafel RAT foi encontrado hospedado em um site governamental hackeado
no Paquistão, redirecionando dispositivos infectados para reportar a esse
servidor. E, em operações de ransomware, os pesquisadores viram casos de Rafel
RAT sendo usado para criptografar arquivos de dispositivos, exigindo resgate
para decriptação.
-
Enganar 2FA: O malware também foi ligado ao roubo de mensagens de autenticação
de dois fatores (2FA), potencialmente burlando essa medida de segurança
crítica.
-
Phishing: O malware Rafel RAT participa de campanhas de phishing em que as
vítimas são enganadas para instalar Android Application Pack, ou Android
Package (APKs) maliciosos disfarçados com nomes e ícones falsos, solicitando
permissões extensas, exibindo sites legítimos que tenta imitar e, então,
rastreando secretamente o dispositivo e vazando dados.
Proteção
do usuário
Os
pesquisadores da Check Point Software listam os principais passos que os
usuários de Android devem seguir para se manterem seguros:
-
Instale aplicativos de fontes confiáveis: Baixe e instale aplicativos apenas de
fontes respeitáveis, como a Google Play Store. Evite lojas de aplicativos de terceiros
e tenha cautela com apps que tenham poucos downloads ou avaliações ruins.
Sempre verifique permissões e avaliações antes de instalar.
-
Mantenha seu software atualizado: Atualize regularmente o sistema operacional
Android e os aplicativos. As atualizações frequentemente incluem patches de
segurança que protegem contra vulnerabilidades recém-descobertas. Ative as atualizações
automáticas para garantir que você receba as proteções mais recentes sem
demora.
-
Use um aplicativo de segurança móvel confiável: Instale um aplicativo de
segurança móvel respeitável que ofereça proteção em tempo real contra malware.
Esses aplicativos podem escanear softwares maliciosos, detectar atividades
suspeitas e fornecer recursos adicionais de segurança, como medidas antirroubo
e navegação segura.
Solução
da Check Point Software
O Check Point Harmony Mobile impede que malwares infiltrem dispositivos móveis, detectando e bloqueando o download de aplicativos maliciosos em tempo real. A infraestrutura de segurança de rede exclusiva do Harmony Mobile — Proteção de Rede no Dispositivo — possibilita estar à frente das ameaças emergentes, estendendo as tecnologias de segurança de rede da Check Point Software para dispositivos móveis.
Imagem ilustrativa - Divulgação Check Point Software
Check Point Research
Blog
X / Twitter
Check Point Software
X /Twitter
Blog
YouTube
Nenhum comentário:
Postar um comentário