Malware ataca Android
24 de Junho de 2024

Um malware Android de código aberto chamado 'Ratel RAT' está sendo amplamente utilizado por diversos cibercriminosos para atacar dispositivos desatualizados, com alguns visando bloqueá-los com um módulo de ransomware que exige pagamento pelo Telegram.

Os pesquisadores Antonis Terefos e Bohdan Melnykov da Check Point relatam a detecção de mais de 120 campanhas que utilizam o malware Ratel RAT.

Algumas dessas campanhas são conduzidas por atores de ameaças conhecidos, como o APT-C-35 (DoNot Team), enquanto em outros casos, o Irã e o Paquistão foram determinados como as origens da atividade maliciosa.

Quanto aos alvos, a Check Point menciona o direcionamento bem-sucedido de organizações de alto perfil, incluindo setores governamentais e militares, sendo a maioria das vítimas dos Estados Unidos, China e Indonésia.

Na maioria das infecções examinadas pela Check Point, as vítimas utilizavam uma versão do Android que tinha alcançado o fim da vida útil (EoL) e não estava mais recebendo atualizações de segurança, tornando-as vulneráveis a falhas conhecidas/publicadas.

Isso se aplica às versões do Android 11 e anteriores, que representaram mais de 87,5% do total.

Apenas 12,5% dos dispositivos infectados rodavam Android 12 ou 13.

Quanto às marcas e modelos visados, há uma mistura de tudo, incluindo Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One e dispositivos da OnePlus, Vivo e Huawei.

Isso prova que o Ratel RAT é uma ferramenta de ataque eficaz contra uma variedade de implementações diferentes do Android.

O Ratel RAT é distribuído por diversos meios, mas os atores de ameaças geralmente são vistos explorando marcas conhecidas como Instagram, WhatsApp, plataformas de e-commerce ou aplicativos de antivírus para enganar as pessoas e fazer com que baixem APKs maliciosos.

Durante a instalação, ele solicita acesso a permissões arriscadas, incluindo isenção de otimização de bateria, para poder rodar em segundo plano.

Os comandos que ele suporta variam conforme a variante, mas geralmente incluem o seguinte:

Os mais importantes com base no seu impacto potencial são:

- ransomware: Inicia o processo de criptografia de arquivos no dispositivo.
- wipe: Apaga todos os arquivos sob o caminho especificado.
- LockTheScreen: Bloqueia a tela do dispositivo, tornando-o inutilizável.
- sms_oku: Vaza todos os SMS (e códigos 2FA) para o servidor de comando e controle (C2).
- location_tracker: Vaza a localização ao vivo do dispositivo para o servidor C2.

As ações são controladas a partir de um painel central onde os atores de ameaças podem acessar informações sobre o dispositivo e o status e decidir sobre seus próximos passos de ataque.

De acordo com a análise da Check Point, em cerca de 10% dos casos, o comando de ransomware foi emitido.

O módulo de ransomware no Ratel RAT é projetado para executar esquemas de extorsão ao tomar controle do dispositivo da vítima e criptografar seus arquivos usando uma chave AES pré-definida.

Se os privilégios de DeviceAdmin foram obtidos no dispositivo, o ransomware ganha controle sobre funções cruciais do dispositivo, como a capacidade de alterar a senha da tela de bloqueio e adicionar uma mensagem personalizada na tela, muitas vezes a nota de resgate.

Se o usuário tentar revogar os privilégios de administrador, o ransomware pode reagir mudando a senha e bloqueando a tela imediatamente.

Os pesquisadores da Check Point observaram várias operações de ransomware envolvendo o Ratel RAT, incluindo um ataque do Irã que realizou reconhecimento usando as outras capacidades do Ratel RAT antes de executar o módulo de criptografia.

O atacante apagou o histórico de chamadas, mudou o papel de parede para exibir uma mensagem personalizada, bloqueou a tela, ativou a vibração do dispositivo e enviou um SMS contendo a nota de resgate, que instava a vítima a enviar uma mensagem para eles no Telegram para "resolver esse problema."

Para se defender desses ataques, evite baixar APKs de fontes duvidosas, não clique em URLs incorporadas em e-mails ou SMS e escaneie aplicativos com o Play Protect antes de lançá-los.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...