Alertă DNSC pentru utilizatorii de Android. Malware care permite utilizarea telefoanelor de la distanță, fără știrea proprietarilor
Directoratul Național pentru Securitate Cibernetică (DNSC) a emis o alertă privind detectarea în România a Rafel Remote Access Tool (RAT), un tip de malware conceput pentru sistemele Android care conferă atacatorilor capacitatea de a gestiona dispozitivele infectate de la distanță, fără ca proprietarii acestora să știe.
„Rafel RAT reprezintă o amenințare cibernetică majoră, ce poate fi folosită pentru spionaj și atacuri ransomware sofisticate. Evoluția sa de la un simplu instrument de spionaj la un malware multifuncțional reflectă adaptabilitatea și pericolul pe care îl reprezintă pentru utilizatorii de dispozitive cu sistem de operare Android”, se spune într-un comunicat al DNSC.
Care sunt cele mai vulnerabile telefoane
Aplicația a fost creată în anul 2021 și a câștigat notorietate prin capacitățile sale extinse și modul facil de utilizare, fiind folosit în atacuri cibernetice precum fraude financiare și spionaj corporativ.
Inițial, Rafel RAT putea obține acces la date de pe dispozitivele Android infectate, precum mesaje SMS, jurnale de apeluri, contacte, parole stocate, locații și fișiere media. Ulterior, a fost adaptat ulterior pentru a efectua atacuri de tip ransomware, criptând fișierele utilizatorilor și cerând răscumpărări pentru deblocarea acestora.
„Majoritatea victimelor acestor atacuri au utilizat telefoane Samsung, Xiaomi, Vivo și Huawei, iar 87,5% dintre dispozitivele utilizate aveau un sistem de operare Android depășit ce nu mai beneficia de actualizări de securitate”, precizează Directoratul.
Ultima campanie, desfășurată în 2024, a avut ca ținte entități de rang înalt, pe o arie geografică foarte largă, ce cuprinde Australia, China, Franța, Germania, Italia, Pakistan, România și SUA.
Malware-ul este utilizat după ce victimele sunt convinse să-l instaleze prin aplicații foarte cunoscute, precum Black WhatsApp, Story Saver for Instagram ș.a., aplicații de suport sau soluții antivirus. În alte cazuri, atacurile au avut loc prin email-uri care foloseau tehnici de inginerie socială pentru a convinge destinatarii să deschidă documente atașate sau să acceseze site-uri web infectate, instalând astfel malware-ul pe dispozitivele proprii.
„Rafel RAT funcționează foarte bine pe Android 12 și versiunile anterioare, dar au fost înregistrate atacuri reușite și asupra dispozitivelor cu Android versiunea 13”, susțin experții DNSC.
Aceștia au identificat mai multe metode de distribuție (vectori de atac) ai aplicației:
- E-mailuri de tip phishing: Infractorii cibernetici folosesc adesea e-mailuri atent concepute care par a fi din surse legitime, conținând link-uri sau atașamente care, atunci când sunt accesate, duc la instalarea Rafel RAT.
- Site-uri web malițioase: Utilizatorii pot fi înșelați să viziteze site-uri web compromise sau false care exploatează vulnerabilități în sistemul Android sau folosesc tehnici de inginerie socială pentru a convinge utilizatorii să descarce malware-ul.
- Aplicații false: Rafel RAT este frecvent deghizat ca aplicație legitimă, precum actualizări de sistem, jocuri populare sau aplicații utilitare. Acestea sunt distribuite prin magazine de aplicații neoficiale sau link-uri de descărcare directă.
- SMS și conturi de social media: Atacatorii pot folosi mesaje text sau platforme de social media pentru a răspândi link-uri către aplicații sau site-uri web infectate.
Ce poate face aplicația
După descărcare, aplicația solicită un set extins de permisiuni de la utilizator, precum acces la contacte, SMS-uri, jurnale de apeluri, cameră, microfon, stocare și date de localizare.
Capacitățile și funcționalitatea aplicației au un grad mare de complexitate:
- Furt de date: Rafel RAT poate accesa și extrage o gamă largă de date sensibile, cum ar fi: contacte, mesaje SMS (inclusiv coduri 2FA), jurnale de apeluri, istoricul de navigare, parole stocate, informații financiare.
- Înregistrare audio și video: Malware-ul poate activa silențios microfonul și camera dispozitivului pentru a înregistra acțiunile și împrejurimile utilizatorului.
- Capturi de ecran: Poate face capturi de ecran ale dispozitivului, putând extrage informații sensibile precum datele de autentificare (utilizator, parole, PIN-uri).
- Acces la fișiere: Rafel RAT poate naviga și descărca fișiere stocate pe dispozitiv, inclusiv fotografii, documente și copii de siguranță.
- Urmărire GPS: Malware-ul poate monitoriza și raporta locația dispozitivului în timp real.
- Control de la distanță: Atacatorii pot folosi Rafel RAT pentru a executa comenzi pe dispozitivul infectat, prin instalarea unor module suplimentare ale malware-ului sau prin desfășurarea unor acțiuni neautorizate.
- Keylogging: Poate înregistra tastele apăsate, capturând parole și alte date sensibile.
- Manipularea aplicațiilor: Rafel RAT poate lansa aplicații, modifica setările aplicațiilor și chiar dezinstala software-ul de securitate.
- Compatibilitate extinsă: Suport pentru versiuni Android de la v5 la v13, acoperind o gamă largă de dispozitive vulnerabile.
- Evitarea detectării: Evită detecția de către PlayProtect și alte soluții de securitate pentru dispozitivele mobile.
DNSC a elaborat și un set de recomandări pentru utilizatorii de Android pentru a putea evita infectarea cu această aplicație: atenție la verificarea e-mailurilor, mai ales la cele cu fișiere atașate sau linkuri suspecte, descărcarea aplicațiilor doar din surse de încrederei, analiza cu atenția a permisiunilor solicitate de aplicații etc.