Rafel RAT, un malware que ataca Android pasando por el espionaje hasta operaciones de ransomware R

Jun 21, 2024 - by administrador

La mayoría de las víctimas tenían teléfonos Samsung, seguidos por los de Xiaomi, Vivo, Huawei,
entre otros
 Las víctimas más afectadas tenían versiones Android 11, seguidos usuarios con versiones 8 y 5
 Descubrimiento de un grupo de espionaje que aprovechaba Rafel en sus operaciones
 Rafel, desde el acceso remoto, la vigilancia, la exfiltración de datos y los mecanismos de persistencia,
lo convierten en una herramienta potente para realizar operaciones encubiertas
 Android es el sistema operativo más popular y utilizado con más de 3.900 millones de usuarios
activos en más de 190 países
Bogotá, junio 21 de 2024 – Cuando se trata de dispositivos móviles, Android es el sistema operativo más
popular y utilizado con más de 3.900 millones de usuarios activos en más de 190 países. Tres cuartas partes
de todos los dispositivos móviles funcionan con Android. Sin embargo, su adopción generalizada y su
entorno abierto conllevan el riesgo de actividad maliciosa. El malware para Android, un software malicioso
diseñado para atacar dispositivos Android, representa una amenaza importante para la privacidad, la
seguridad y la integridad de los datos de los usuarios.
Estos programas maliciosos se presentan en diversas formas, incluidos virus, troyanos, ransomware,
spyware y adware, y pueden infiltrarse en los dispositivos a través de múltiples vectores, como descargas de
aplicaciones, sitios web maliciosos, ataques de phishing e incluso vulnerabilidades del sistema en sí.
Check Point Research (CPR) ha identificado múltiples actores de amenazas que utilizan Rafel, una
herramienta de administración remota (RAT) de código abierto. El descubrimiento de un grupo de espionaje
que aprovechaba Rafel en sus operaciones fue de particular importancia, ya que indica la eficacia de la
herramienta en varios perfiles de actores de amenazas y objetivos operativos.
Anteriormente, ya se había identificado “APT-C-35 / DoNot Team” utilizando Rafel RAT. Las características y
capacidades de Rafel, como el acceso remoto, la vigilancia, la exfiltración de datos y los mecanismos de
persistencia, lo convierten en una herramienta potente para realizar operaciones encubiertas e infiltrarse en
objetivos de alto valor.
CPR recopiló múltiples muestras de malware de este RAT de Android y alrededor de 120 servidores de
comando y control, encontrando que los países más atacados fueron los Estados Unidos de América, China e
Indonesia.
La mayoría de las víctimas tenían teléfonos Samsung, siendo los usuarios de Xiaomi, Vivo y Huawei el
segundo grupo más grande entre las víctimas objetivo. Este resultado corresponde a la popularidad de los
dispositivos en varios mercados.
Llama la atención la distribución de las versiones de Android entre las víctimas más afectadas. Android 11 es
el más frecuente, seguido de las versiones 8 y 5. A pesar de la variedad de versiones de Android, el malware
generalmente puede funcionar en todas ellas. Sin embargo, las versiones más nuevas del sistema operativo
suelen presentar más desafíos para que el malware ejecute sus funciones o requieren más acciones para ser
efectivas.
Ya se había observado que en los bots de Windows es elevado el número de infecciones en Windows XP, a
pesar de que esta versión llegó al final de su vida útil en 2014. Observamos el mismo escenario en
 
©2024 Check Point Software Technologies Ltd. All rights reserved | P. 2​​
 
dispositivos Android infectados. Más del 87% de las víctimas afectadas ejecutan versiones de Android que ya
no son compatibles y, en consecuencia, no reciben correcciones de seguridad.
Además, CPR analizó en profundidad tres casos concretos. La primera fue una operación de ransomware de
Android en la que el actor de la amenaza cifró los archivos del dispositivo. El segundo fueron mensajes de
autenticación de dos factores (2FA) filtrados que posiblemente podrían conducir a una omisión de 2FA, y el
último caso fue un actor de amenazas que instaló el comando y control de Rafel en un sitio web
gubernamental pirateado y los dispositivos infectados informaron a él.
Rafel RAT es un potente ejemplo del panorama cambiante del malware para Android, caracterizado por su
naturaleza de código abierto, su amplio conjunto de funciones y su uso generalizado en diversas actividades
ilícitas. La prevalencia de Rafel RAT resalta la necesidad de una vigilancia continua y medidas de seguridad
proactivas para proteger los dispositivos Android contra la explotación maliciosa. A medida que los
ciberdelincuentes continúan aprovechando técnicas y herramientas como Rafel RAT para comprometer la
privacidad del usuario, robar datos confidenciales y perpetrar fraude financiero, es esencial un enfoque de
múltiples capas para la seguridad móvil.
Pasos que los usuarios de Android deben seguir para mantenerse seguros:
.Instale aplicaciones de fuentes confiables: descargue e instale aplicaciones únicamente de fuentes
confiables como Google Play Store. Evite las tiendas de aplicaciones de terceros y tenga cuidado con las
aplicaciones que tienen pocas descargas o malas críticas. Siempre verifique los permisos y las revisiones de la
aplicación antes de instalarla.
.Mantenga su software actualizado: actualice periódicamente su sistema operativo y sus aplicaciones
Android. Las actualizaciones suelen incluir parches de seguridad que protegen contra vulnerabilidades recién
descubiertas. Habilite las actualizaciones automáticas para asegurarse de recibir las últimas protecciones sin
demora.
.Utilice una aplicación de seguridad móvil confiable: instale una aplicación de seguridad móvil confiable que
ofrezca protección en tiempo real contra malware. Estas aplicaciones pueden buscar software malicioso,
detectar actividades sospechosas y proporcionar funciones de seguridad adicionales como medidas
antirrobo y navegación segura.
“Si sigue los pasos enumerados anteriormente, los usuarios de Android pueden reducir significativamente el
riesgo de encontrar malware y mejorar la seguridad de su dispositivo”, dijo Manuel Rodríguez, Gerente de
Ingeniería de Seguridad para NOLA de Check Point Software.
Harmony Mobile de Check Point evita que el malware se infiltre en los dispositivos móviles al detectar y
bloquear la descarga de aplicaciones maliciosas en tiempo real. La exclusiva infraestructura de seguridad de
red de Harmony Mobile (protección de red en el dispositivo) le permite adelantarse a las amenazas
emergentes.
Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de
investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se
asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100
analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000
empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a
través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta
más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point
CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad
colaborativos.
©2024 Check Point Software Technologies Ltd. Todos los derechos reservados.
CONTACTO DE PRENSA: OJALVO ASOCIADOS LATAM
MARGARET OJALVO CEL Y WHATSAPP: +573153358717
 
©2024 Check Point Software Technologies Ltd. All rights reserved | P. 3​​