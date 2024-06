Gli esperti di Check Point Reseach hanno individuato un malware open source per Android, denominato Rafel RAT, che i cybercriminali del gruppo APT-C-35 (DoNot Team) hanno utilizzato per attività di spionaggio, furto dei dati e attacchi ransomware. Oltre l’87% delle vittime possiede smartphone con vecchie versioni del sistema operativo che non ricevono più aggiornamenti di sicurezza.

Malware potente e molto pericoloso

Rafel RAT viene distribuito in vari modi, ma quello più usato prevede lo sfruttamento di noti brand. I cybercriminali cercano di convincere gli utenti a scaricare APK di false app di WhatsApp, Instagram, servizi di e-commerce o antivirus. Durante l’installazione vengono chiesti permessi di amministratore che consentono di eseguire varie attività pericolose. Il malware contatta quindi il server remoto, al quale invia le informazioni sul dispositivo e dal quale riceve i comandi da eseguire.

Rafel RAT può accedere a contatti, SMS, cronologia delle chiamate e posizione geografica, inviare messaggi, cancellare file, bloccare lo schermo, copiare file e avviare cifratura dei file. Si tratta in pratica delle tradizionali funzionalità di spyware e ransomware. L’accesso agli SMS consente di intercettare i codici per l’autenticazione in due fattori degli account.

I cybercriminali possono gestire gli attacchi attraverso un pannello che mostra tutti i dati rubati e permette di eseguire varie azioni. Il malware può aggirare Google Play Protect e mantenere la persistenza (esecuzione automatica all’avvio del dispositivo). La maggioranza delle vittime sono organizzazioni governative e militari (principalmente in Cina, Stati Uniti e Indonesia). Gli autori degli attacchi potrebbero essere di origine iraniana.