Check Point: descoberto malware contra Android para espionagem e operações de ransomware

Quando se trata de dispositivos móveis, o Android é o sistema operacional mais popular no mundo e usado por mais de 3,9 bilhões de usuários ativos em mais de 190 países. O Brasil com a China, Índia, Estados Unidos e a Rússia são os países que têm o maior número de assinantes de celulares.

Três quartos de todos os dispositivos móveis rodam Android. No entanto, com sua ampla adoção e ambiente aberto, vem o risco de atividades maliciosas. O Malware Android, um software malicioso projetado para atingir dispositivos Android representa uma ameaça significativa à privacidade, segurança e integridade dos Dados dos usuários.

Esses programas maliciosos surgem em várias formas, incluindo vírus, trojans, ransomware, spyware e adware, e podem se infiltrar nos dispositivos por meio de diversos vetores, como downloads de aplicativos, sites maliciosos, ataques de phishing e até vulnerabilidades do sistema.

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, identificou várias campanhas que utilizam o Rafel, uma ferramenta de acesso remoto, ou em inglês Remote Access Trojan (RAT), de código aberto direcionada a dispositivos Android.

A descoberta de um grupo de espionagem que usa o Rafel RAT em suas operações foi particularmente significativa, pois indica a eficácia da ferramenta em diversos perfis de atores de ameaças e objetivos operacionais.

“O Rafel RAT é mais um lembrete de como a tecnologia de malware de código aberto pode causar danos significativos, especialmente quando mira grandes ecossistemas como o Android, com quase 4 bilhões de usuários mundialmente. Como a maioria das vítimas afetadas está rodando versões Android não suportadas, é fundamental que elas mantenham seus dispositivos atualizados com as correções de segurança mais recentes ou substituí-las se não estiverem mais recebendo atualizações”, alerta Alexander Chailytko, gerente de Pesquisa e Inovação em Segurança Cibernética da Check Point Software.

Ele complementa que “os atacantes, e até grupos APT, estão sempre buscando maneiras de alavancar suas operações, especialmente com ferramentas prontamente disponíveis como o Rafel RAT, o que pode levar a exfiltração crítica de dados, usando códigos de autenticação de dois fatores vazados, tentativas de vigilância e operações encobertas, que são particularmente devastadoras quando usadas contra alvos de alto perfil”.

Em uma divulgação anterior, a equipe da CPR identificou o APT-C-35 / DoNot Team utilizando o Rafel RAT. As funcionalidades e capacidades do Rafel, como acesso remoto, vigilância, exfiltração de dados e mecanismos de persistência, o tornam uma ferramenta potente para conduzir operações ocultas e infiltrar alvos de alto valor.

Os pesquisadores da CPR coletaram várias amostras de malware deste Android RAT e cerca de 120 servidores de comando e controle (C&C) e verificaram que os países mais visados foram os Estados Unidos, a China e a Indonésia.

Descobriram também que a maioria dos dispositivos comprometidos são Samsung, Xiaomi, Vivo e Huawei, refletindo a dominância dessas marcas no mercado.

Outros pontos principais destacados no relatório da Check Point Research são:
 Versões Android
 A maioria dos dispositivos afetados roda versões desatualizadas do Android, destacando a necessidade de atualizações e patches de segurança regulares. O Android 11 é o mais predominante, seguido pelas versões 8 e 5. Apesar da variedade de versões do Android, o malware geralmente pode operar em todas. No entanto, as versões mais recentes do sistema operacional normalmente apresentam mais desafios para o malware executar suas funções ou exigem mais ações da vítima para serem eficazes.

 Ameaças Diversas
 Desde espionagem até ransomware, as capacidades do Rafel RAT incluem acesso remoto, vigilância, roubo de dados e até criptografia de arquivos das vítimas.

Casos
 O Rafel RAT foi encontrado hospedado em um site governamental hackeado no Paquistão, redirecionando dispositivos infectados para reportar a esse servidor. E, em operações de ransomware, os pesquisadores viram casos de Rafel RAT sendo usado para criptografar arquivos de dispositivos, exigindo resgate para decriptação.

 Enganar 2FA
 O malware também foi ligado ao roubo de mensagens de autenticação de dois fatores (2FA), potencialmente burlando essa medida de segurança crítica.

Phishing
 O malware Rafel RAT participa de campanhas de phishing em que as vítimas são enganadas para instalar Android Application Pack, ou Android Package (APKs) maliciosos disfarçados com nomes e ícones falsos, solicitando permissões extensas, exibindo sites legítimos que tenta imitar e, então, rastreando secretamente o dispositivo e vazando Dados.

Proteção do usuário
Os pesquisadores da Check Point Software listam os principais passos que os usuários de Android devem seguir para se manterem seguros:

 Instale aplicativos de fontes confiáveis
 Baixe e instale aplicativos apenas de fontes respeitáveis, como a Google Play Store. Evite lojas de aplicativos de terceiros e tenha cautela com apps que tenham poucos downloads ou avaliações ruins. Sempre verifique permissões e avaliações antes de instalar.

 Mantenha seu software atualizado
 Atualize regularmente o sistema operacional Android e os aplicativos. As atualizações frequentemente incluem patches de segurança que protegem contra vulnerabilidades recém-descobertas. Ative as atualizações automáticas para garantir que você receba as proteções mais recentes sem demora.

 Use um aplicativo de segurança móvel confiável
Instale um aplicativo de segurança móvel respeitável que ofereça proteção em tempo real contra malware. Esses aplicativos podem escanear softwares maliciosos, detectar atividades suspeitas e fornecer recursos adicionais de segurança, como medidas antirroubo e navegação segura.

Imagem ilustrativa – Crédito Imagem de Gerd Altmann por Pixabay