A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, identificou várias campanhas que utilizam o Rafel, uma ferramenta de acesso remoto, ou em inglês Remote Access Trojan (RAT), de código aberto direcionada a dispositivos Android. Os pesquisadores encontraram indícios de que existe um grupo de espionagem que usa o Rafel RAT em suas operações foi particularmente significativa, pois indica a eficácia da ferramenta em diversos perfis de atores de ameaças e objetivos operacionais.
Os pesquisadores da CPR coletaram várias amostras de malware deste Android RAT e cerca de 120 servidores de comando e controle (C&C) e verificaram que os países mais visados foram os Estados Unidos, a China e a Indonésia. Descobriram também que a maioria dos dispositivos comprometidos são Samsung, Xiaomi, Vivo e Huawei, refletindo a dominância dessas marcas no mercado.
Os cibercriminosos estão sempre buscando maneiras de alavancar suas operações, especialmente com ferramentas prontamente disponíveis como o Rafel RAT, o que pode levar a exfiltração crítica de dados, usando códigos de autenticação de dois fatores vazados, tentativas de vigilância e operações encobertas, que são particularmente devastadoras quando usadas contra alvos de alto perfil.
A maioria dos dispositivos afetados roda versões desatualizadas do Android, destacando a necessidade de atualizações e patches de segurança regulares. O Android 11 é o mais predominante, seguido pelas versões 8 e 5. Apesar da variedade de versões do Android, o malware geralmente pode operar em todas. No entanto, as versões mais recentes do sistema operacional normalmente apresentam mais desafios para o malware executar suas funções ou exigem mais ações da vítima para serem eficazes.
Outras informações sobre o malware indicam:
Os pesquisadores da Check Point Software listam os principais passos que os usuários de Android devem seguir para se manterem seguros:
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).