Avertizare din partea DNSC pentru utilizatorii de Android. Malware capabil să acceseze telefoanele de la distanță, fără cunoștința proprietarilor.

joi, 4 iulie 2024, 18:13•

Malware, Foto: Spaxia, Dreamstime.com

Directoratul Național pentru Securitate Cibernetică (DNSC) a făcut o avertizare referitoare la identificarea în România a instrumentului de acces de la distanță Rafel Remote Access Tool (RAT), un tip de malware destinat sistemelor Android care oferă atacatorilor posibilitatea de a controla dispozitivele infectate fără ca proprietarii să fie informați.

„Rafel RAT constituie o amenințare cibernetică semnificativă, utilizabilă atât pentru spionaj, cât și pentru atacuri ransomware complexe. Evoluția sa de la un simplu instrument de supraveghere la un malware multifuncțional subliniază adaptabilitatea și riscurile pe care le presupune pentru utilizatorii sistemelor Android”, a declarat DNSC.

Telefoane cele mai expuse la risc

Această aplicație a fost dezvoltată în anul 2021 și a devenit cunoscută datorită funcționalităților sale extinse și ușurinței de utilizare, fiind utilizată în atacuri cibernetice precum fraudă financiară și spionaj în mediul corporativ.

Inițial, Rafel RAT avea capacitatea de a căuta informații de pe dispozitivele Android infectate, inclusiv mesaje SMS, jurnale de apeluri, contacte, parole salvate, locații și fișiere media. Ulterior, a fost adaptat pentru a putea realiza atacuri de tip ransomware, criptând fișierele utilizatorilor și solicitând sume de bani pentru deblocarea acestora.

„Cele mai multe victime ale acestor atacuri au folosit telefoane de la branduri precum Samsung, Xiaomi, Vivo și Huawei, iar 87,5% dintre dispozitive au avut un sistem de operare Android învechit, fără actualizări de securitate”, a adăugat Directoratul.

Cea mai recentă campanie, desfășurată în 2024, a vizat entități importante, acoperind o arie geografică extinsă, inclusiv Australia, China, Franța, Germania, Italia, Pakistan, România și Statele Unite.

Malware-ul este instalat după ce utilizatorii sunt convinși să-l descarce prin intermediul unor aplicații populare, precum Black WhatsApp, Story Saver for Instagram, aplicații de suport sau soluții antivirus. Uneori, atacurile se realizează prin email-uri folosind tehnici de inginerie socială pentru a determina destinatarii să deschidă atașamente sau să acceseze site-uri web compromise, instalând astfel malware-ul pe dispozitive.

„Rafel RAT funcționează eficient pe Android 12 și versiunile anterioare, dar au fost raportate atacuri și asupra dispozitivelor cu Android 13”, au afirmat experții DNSC.

Aceștia au identificat diverse metode de diseminare a aplicației:

E-mailuri de tip phishing: Atacatorii cibernetici utilizează frecvent e-mailuri bine concepute care aparent provin din surse de încredere, incluzând link-uri sau atașamente ce, odată accesate, duc la instalarea Rafel RAT.
Site-uri web malițioase: Utilizatorii pot fi duși în eroare să acceseze site-uri compromise sau fictive care exploatează slăbiciuni în sistemul Android sau aplică tehnici de inginerie socială pentru a-i convinge să descarce malware-ul.
Aplicații false: Rafel RAT este adesea mascat ca o aplicație legitimă, precum actualizări de sistem, jocuri populare sau aplicații utile, distribuite prin magazine neoficiale sau linkuri de descărcare directă.
Mesaje SMS și platforme de social media: Infractorii utilizează mesaje text sau rețele sociale pentru a răspândi linkuri către aplicații sau site-uri infectate.

Funcțiile aplicației

După instalare, aplicația cere utilizatorilor un spectru larg de permisiuni, inclusiv acces la contacte, SMS-uri, jurnale de apeluri, cameră, microfon, stocare și date de localizare.

Funcționalitățile aplicației sunt extrem de complexe:

Furt de date: Rafel RAT poate accesa și extrage un spectru larg de informații sensibile, incluzând: contacte, mesaje SMS (inclusiv coduri 2FA), jurnale de apeluri, istoric de navigare, parole salvate, date financiare.
Înregistrare audio și video: Malware-ul poate activa în tăcere microfonul și camera dispozitivului pentru a înregistra activitățile și împrejurimile utilizatorului.
Capturi de ecran: Aplicația poate realiza capturi de ecran, putând extrage informații sensibile precum datele de autentificare (utilizator, parole, PIN-uri).
Acces la fișiere: Rafel RAT poate naviga și descărca fișiere stocate pe dispozitiv, incluzând fotografii, documente și copii de siguranță.
Urmărire GPS: Malware-ul poate monitoriza și raporta locația dispozitivului în timp real.
Control de la distanță: Atacatorii pot folosi Rafel RAT pentru a executa comenzi pe dispozitivul infectat, instalând module suplimentare ale malware-ului sau desfășurând acțiuni neautorizate.
Keylogging: Rafel RAT poate înregistra apăsările de taste, capturând parole și alte date sensibile.
Manipularea aplicațiilor: Rafel RAT poate deschide aplicații, modifica setările acestora și chiar dezinstala software-ul de securitate.
Compatibilitate extinsă: Oferă suport pentru versiuni Android de la v5 la v13, acoperind astfel o gamă largă de dispozitive expuse.
Evitarea detectării: Malware-ul reușește să evite detecția de către PlayProtect și alte soluții de securitate pentru dispozitive mobile.

DNSC a întocmit un set de recomandări pentru utilizatorii de Android pentru a se proteja de această aplicație: să fie atenți la emailurile primite, în special cele cu atașamente sau linkuri suspecte, să descarce aplicații doar din surse de încredere, să analizeze cu atenție permisiunile cerute de aplicații etc.