4 de noviembre de 2024

Rafel RAT es un malware que afecta a dispositivos Android, desde espionaje hasta operaciones de ransomware

Escucha este Artículo

En el ámbito de los dispositivos móviles, Android se destaca como el sistema operativo más popular y extendido, con más de 3.900 millones de usuarios activos en más de 190 países. Tres cuartas partes de los dispositivos móviles operan con Android. No obstante, su amplia adopción y entorno abierto implican riesgos de actividades malintencionadas. El malware para Android, diseñado específicamente para atacar estos dispositivos, es una seria amenaza para la privacidad, seguridad e integridad de los datos de los usuarios.

Estos programas dañinos adoptan varias formas, como virus, troyanos, ransomware, spyware y adware, y pueden ingresar a los dispositivos por distintos medios, incluyendo descargas de aplicaciones, sitios web comprometidos, ataques de phishing y vulnerabilidades del sistema operativo.

Check Point Research (CPR) ha identificado a varios agentes de amenazas que utilizan Rafel, una herramienta de administración remota (RAT) de código abierto. El descubrimiento de un grupo de espionaje empleando Rafel en sus operaciones es particularmente significativo, ya que evidencia la eficacia de la herramienta en diversos perfiles de agentes de amenazas y objetivos estratégicos.

Previamente, se había reportado al grupo “APT-C-35 / DoNot Team” haciendo uso del Rafel RAT. Las funcionalidades de Rafel, incluyendo acceso remoto, vigilancia, exfiltración de datos y mecanismos de persistencia, lo hacen una herramienta poderosa para llevar a cabo operaciones encubiertas e infiltrarse en blancos de alto valor.

CPR ha recopilado múltiples muestras de malware de este RAT para Android y aproximadamente 120 servidores de comando y control, revelando que los países más afectados son Estados Unidos, China e Indonesia.

La mayoría de las víctimas poseían dispositivos Samsung, con usuarios de Xiaomi, Vivo y Huawei constituyendo el segundo grupo más grande entre los objetivos. Este hallazgo refleja la popularidad de estos dispositivos en diversos mercados.

Es notable la distribución de las versiones de Android entre las víctimas más afectadas. Android 11 es el más común, seguido por las versiones 8 y 5. A pesar de la diversidad de versiones de Android, el malware suele ser operativo en todas. No obstante, las versiones más recientes del sistema operativo a menudo presentan mayores obstáculos para la ejecución de funciones maliciosas o requieren más pasos para ser efectivas.

Se ha notado previamente que en los bots de Windows, hay un alto número de infecciones en Windows XP, a pesar de que esta versión finalizó su soporte en 2014. Se observa una situación similar en dispositivos Android infectados. Más del 87% de las víctimas utilizan versiones de Android que ya no tienen soporte y, por lo tanto, no reciben actualizaciones de seguridad.

Además, CPR investigó tres casos específicos en detalle. El primero fue una operación de ransomware en Android donde el atacante cifró archivos en el dispositivo. El segundo caso involucró mensajes de autenticación de dos factores (2FA) comprometidos que podrían llevar a una elusión del 2FA, y el último fue un atacante que instaló el comando y control de Rafel RAT en un sitio web gubernamental comprometido, con los dispositivos infectados reportando a este.

Rafel RAT es un claro ejemplo de la evolución del malware en Android, destacado por su código abierto, amplia gama de funcionalidades y uso extendido en actividades ilícitas. La prevalencia de Rafel RAT subraya la importancia de mantener una vigilancia constante y adoptar medidas de seguridad proactivas para proteger los dispositivos Android de la explotación malintencionada. Con los ciberdelincuentes continuando con el uso de técnicas y herramientas como Rafel RAT para vulnerar la privacidad de los usuarios, sustraer datos sensibles y cometer fraude financiero, resulta crucial adoptar un enfoque de seguridad móvil con múltiples capas.

Pasos que los usuarios de Android deben seguir para mantenerse seguros:

.Instale aplicaciones de fuentes confiables: descargue e instale aplicaciones únicamente de fuentes confiables como Google Play Store. Evite las tiendas de aplicaciones de terceros y tenga cuidado con las aplicaciones que tienen pocas descargas o malas críticas. Siempre verifique los permisos y las revisiones de la aplicación antes de instalarla.

.Mantenga su software actualizado: actualice periódicamente su sistema operativo y sus aplicaciones Android. Las actualizaciones suelen incluir parches de seguridad que protegen contra vulnerabilidades recién descubiertas. Habilite las actualizaciones automáticas para asegurarse de recibir las últimas protecciones sin demora.

.Utilice una aplicación de seguridad móvil confiable: instale una aplicación de seguridad móvil confiable que ofrezca protección en tiempo real contra malware. Estas aplicaciones pueden buscar software malicioso, detectar actividades sospechosas y proporcionar funciones de seguridad adicionales como medidas antirrobo y navegación segura.

“Si sigue los pasos enumerados anteriormente, los usuarios de Android pueden reducir significativamente el riesgo de encontrar malware y mejorar la seguridad de su dispositivo”, dijo Manuel Rodríguez, Gerente de Ingeniería de Seguridad para NOLA de Check Point Software.

Harmony Mobile de Check Point previene la infiltración de malware en dispositivos móviles mediante la detección y bloqueo en tiempo real de descargas de aplicaciones malintencionadas. Su singular infraestructura de seguridad de red (protección de red en el dispositivo) posibilita anticiparse a las amenazas emergentes.