Rafel RAT prende di mira i telefonini Android obsoleti per sferrare attacchi ransomware con richiesta di riscatto. Lo riporta Check Point che ha rilevato campagne ad alto rischio, in cui l’esfiltrazione della rubrica telefonica della vittima potrebbe far trapelare informazioni sensibili su altri contatti e consentire “movimenti laterali” all’interno dell’organizzazione basati su tali dati.
Altro aspetto preoccupante è il furto dei messaggi di autenticazione a due fattori, che potrebbe consentire agli attori malevoli l’acquisizione di più account.
Diversi cyber criminali sfruttano il malware per la piattaforma mobile open source per attaccare dispositivi non aggiornati, alcuni dei quali rischiano di essere bloccati con un modulo ransomware che richiede il pagamento di riscatto su Telegram.
“Ciò che rende interessante questo attacco”, sottolinea Paolo Dal Checco, informatico forense, “è il fatto che punta a infettare dispositivi obsoleti e quindi non aggiornabili alle ultime versioni del sistema operativo. Oppure anche dispositivi più recenti ma sui quali i proprietari non hanno installato le necessarie patch e upgrade”.
Indice degli argomenti
Rafel RAT: attacchi ransomware contro gli smartphone Android obsoleti
I ricercatori Antonis Terefos e Bohdan Melnykov di Check Point affermano di aver rilevato oltre 120 campagne che utilizzano contro Android il malware Rafel RAT.
“I threat actor sono sempre animati dalla ricerca della massima efficienza, del massimo risultato col minimo sforzo”, evidenzia Enrico Morisi, ICT Security Manager, “e quale miglior ‘banchetto’ di un sistema operativo, Android, così popolare e diffuso da essere eseguito su miliardi di dispositivi in tutto il mondo, con ancora una vasta presenza di versioni che hanno raggiunto l’end-of-life, per le quali quindi non vengono più rilasciati aggiornamenti e, soprattutto, patch di sicurezza, consentendo quindi lo sfruttamento di vulnerabilità note che, assieme al social engineering e al download di app non verificate, per lo più da sorgenti non ufficiali, rappresentano tipicamente i vettori d’ingresso maggiormente utilizzati.
Cos’è Rafel RAT per Android
Rafel RAT è uno strumento di malware open source che opera furtivamente sui dispositivi Android. Ai malintenzionati offre un potente kit di strumenti per l’amministrazione e il controllo remoti, consentendo una serie di attività dannose, che spaziano dal furto di dati alla manipolazione del dispositivo.
Si diffonde inoltre attraverso vari mezzi. Ma soprattutto si traveste da Instagram, WhatsApp, piattaforme di eCommerce o app antivirus per indurre le persone a scaricare APK malevoli.
“Il meccanismo d’infezione infatti”, spiega Dal Checco, “è il consueto APK infetto che l’utente viene persuaso a scaricare e installare accettando i numerosi – ed eccessivi – permessi che il software richiede. Circolano così versioni di Instagram, Facebook e Whatsapp che promettono funzionalità avanzate ma richiedono l’installazione di un’applicativo esterno all’App Store, con tutti i rischi connessi a tale pratica. Una volta che il malware è installato sul dispositivo, avendo abilitato l’utente i permessi necessari, è in grado di acquisire la rubrica telefonica, gli SMS, inviare SMS, posizionamento geografico, esfiltrare file, cartelle o dati, cancellare documenti o log, bloccare lo schermo, cifrare il contenuto del dispositivo“.
I criminali informatici, fra cui attori malevoli come l’APT-C-35 (DoNot Team), conducono queste campagne malware. In altri casi l’origine dell’attività malevole risiede in Iran e Pakistan.
Sul fronte degli obiettivi, Check Point menziona fra le vittime anche organizzazioni di alto profilo che operano nel settore governativo e militare, soprattutto negli Stati Uniti, Cina e Indonesia.
Le versioni di Android colpite
Nella maggior parte delle infezioni sotto la lente di Check Point, le vittime sfruttavano una versione di Android che aveva raggiunto la fine del ciclo di vita (EoL) e non riceveva più aggiornamenti di sicurezza, rendendola vulnerabile alle falle note/pubblicate.
“Dato che in genere chi possiede un dispositivo tende ad aggiornarlo, spinto dalle varie notifiche più o meno invadenti mostrate dal sistema”, continua Dal Checco, “il problema più grave emerge invece nell’utilizzo di device vecchi, perfettamente funzionanti ma per i quali non vengono pubblicati update o aggiornamenti di sicurezza”.
Si tratta delle edizioni di Android 11 e precedenti, che rappresentano oltre l’87,5% del totale. Solo il 12,5% dei dispositivi infetti è dotato di Android 12 o 13.
“Notevole il fatto che dei dispositivi infetti analizzati la quasi totalità era provvista di Android 11, un sistema distribuito da settembre 2020 a febbraio 2024“, sottolinea l’informatico forense.
Per quanto riguarda le marche e i modelli presi di mira, sono presenti Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One e dispositivi di OnePlus, Vivo e Huawei.
“Un teatro d’azione così esteso, unitamente a un paniere di funzioni così potenti e diversificate da minare efficacemente i tre pilastri della CIA triad (Confidentiality, Integrity, Availability) fanno del malware Rafel RAT un toolkit estremamente versatile ed esiziale, tanto da riuscire a penetrare anche i settori militari”, conferma Morisi: “Da evidenziare ancora una volta la tendenza verso malware sempre più sofisticati e raffinati che, nel caso del Rafel RAT si declina, ad esempio, in una notevole attenzione all’ingegnerizzazione delle comunicazioni con il command-and-control (C&C) server, dotato tra l’altro di un’interfaccia decisamente evoluta e user-friendly, fino alla compromissione della Multi-Factor Authentication (MFA) nella ricerca spinta della persistenza e dell’invisibilità, e nell’ottenimento e mantenimento dei privilegi amministrativi”.
Rafel RAT è dunque uno strumento di attacco efficace contro una serie di diverse implementazioni di Android.
“La vulnerabilità è comunque indipendentemente da marca e modello, in sostanza poco cambia se si ha Samsung, Google, Xiaomi, Motorola, Huawei o gli altri produttori, il punto debole è nella versione del sistema operativo installata a bordo“, continua Paolo Dal Checco.
I dettagli di Rafel RAT
Durante l’installazione, richiede l’accesso a permessi rischiosi, tra cui l’esenzione dall’ottimizzazione della batteria, per poter essere eseguito in background. I comandi supportati variano a seconda della variante. Generalmente includono quelli indicati in figura.
I più importanti in base al loro potenziale impatto sono:
- ransomware: avvia il processo di crittografia dei file sul dispositivo.
- wipe: elimina tutti i file nel percorso specificato;
- LockTheScreen: blocca lo schermo del dispositivo, rendendolo inutilizzabile;
- sms_oku: trasmette tutti gli SMS (e i codici 2FA) al server di comando e controllo (C2);
- location_tracker: trasmette la posizione del dispositivo in tempo reale al server C2.
“Ovviamente, la possibilità di avviare il processo di cifratura – oltre che di permettere la fuoriuscita dei dati – apre la possibilità di utilizzo in ambito di estorsione semplice e doppia“, mette in guardia Dal Checco, “cioè con minaccia di non decifrare i dati e, contemporaneamente, di divulgazione degli stessi in caso di mancato pagamento“.
Le azioni sono controllate da un pannello centrale in cui gli attori delle minacce possono accedere alle informazioni sul dispositivo e sullo stato e decidere le fasi successive dell’attacco.
InternalService avvia la comunicazione con il server (C&C), attiva la localizzazione e inizia a impostare i componenti Text-To-Speech.
Il malware è stato sviluppato per partecipare alle campagne di phishing. Sfrutta tattiche ingannevoli per manipolare la fiducia degli utenti e sfruttare le loro interazioni. All’avvio, il malware cerca le autorizzazioni necessarie e può anche chiedere di essere aggiunto all’elenco dei permessi. Soprattutto se l’offerta di servizi extra per l’ottimizzazione delle app contribuisce a garantire la sua persistenza nel sistema.
Come mitigare il rischio di Rafel RAT per Android
La prima raccomandazione è mantenere i sistemi operativi, i software e le app aggiornati, scaricando sempre le patch e le ultime versioni. Quando un device è a fine vita, perché non supporta più le piattaforme mobili aggiornate, significa che è giunta l’ora di effettuare l’upgrade anche del dispositivo, perché non ricevere gli update è la strada più veloce per essere attaccati e rischiare di avere i propri smartphone compromessi.
Il secondo consiglio è quello di effettuare il download di software e app soltanto dai matketplace ufficiali, scaricando le applicazioni vere (e non quelle fasulle).
“Tutte le maggiori organizzazioni governative, che sviluppano gli standard di information security universalmente riconosciuti e accettati, hanno pubblicato linee guida e checklist per la mobile device security: si pensi a CISA (Cybersecurity & Infrastructure Security Agency) con le checklist ‘for Organizations‘ e ‘for Consumers‘ o a NSA (National Security Agency) con le best practice salite recentemente agli onori della cronaca a causa della controversa raccomandazione di riavviare settimanalmente i device.
Tra le molte buone pratiche che si possono promuovere si potrebero citare, ad esempio, le seguenti:
- installare app solo da sorgenti affidabili (aka official store) introducendo processi di vetting;
- mantenere il software sempre aggiornato e, nel caso si sia raggiunto l’end-of-life, sostituire il dispositivo;
- dotarsi di un sistema di Mobile Threat Defense (MTD);
- evitare l’uso di reti Wi-Fi pubbliche e disattivare i sistemi di comunicazione quando non necessari;
- infine investire nella cultura della sicurezza”.
Paolo Dal Checco aggiunge infine una nota di colore: “Nella mia attività di perizia informatica ho fatto analisi forensi su alcune infezioni di questo tipo e posso confermare che erano tutte state eseguite nei confronti di chi aveva versioni obsolete di Whatsapp, perché magari non aveva avuto intenzione di cambiare dispositivo con uno più recente”.
“In tali perizie informatiche era stato possibile rilevare come i criminali avevano sfruttato la presenza di un sistema operativo obsoleto, che aveva permesso l’installazione del malware e l’elusione dei sistemi di sicurezza di Android così da permettere il furto dei dati personali – quali chat, foto e video persino mantenuti per poco tempo sul dispositivo e poi cancellati – e la richiesta di riscatto”, conclude Dal Checco, ricordandoci che aggiornare app, sistema operativo e software è la prima postura di sicurezza per evitare un cyber attacco.
