Um malware Android de código aberto chamado 'Ratel RAT' está sendo amplamente utilizado por diversos cibercriminosos para atacar dispositivos desatualizados, com alguns visando bloqueá-los com um módulo de ransomware que exige pagamento pelo Telegram.
Os pesquisadores Antonis Terefos e Bohdan Melnykov da Check Point relatam a detecção de mais de 120 campanhas que utilizam o malware Ratel RAT.
Algumas dessas campanhas são conduzidas por atores de ameaças conhecidos, como o APT-C-35 (DoNot Team), enquanto em outros casos, o Irã e o Paquistão foram determinados como as origens da atividade maliciosa.
Quanto aos alvos, a Check Point menciona o direcionamento bem-sucedido de organizações de alto perfil, incluindo setores governamentais e militares, sendo a maioria das vítimas dos Estados Unidos, China e Indonésia.
Na maioria das infecções examinadas pela Check Point, as vítimas utilizavam uma versão do Android que tinha alcançado o fim da vida útil (EoL) e não estava mais recebendo atualizações de segurança, tornando-as vulneráveis a falhas conhecidas/publicadas.
Isso se aplica às versões do Android 11 e anteriores, que representaram mais de 87,5% do total.
Apenas 12,5% dos dispositivos infectados rodavam Android 12 ou 13.
Quanto às marcas e modelos visados, há uma mistura de tudo, incluindo Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One e dispositivos da OnePlus, Vivo e Huawei.
Isso prova que o Ratel RAT é uma ferramenta de ataque eficaz contra uma variedade de implementações diferentes do Android.
O Ratel RAT é distribuído por diversos meios, mas os atores de ameaças geralmente são vistos explorando marcas conhecidas como Instagram, WhatsApp, plataformas de e-commerce ou aplicativos de antivírus para enganar as pessoas e fazer com que baixem APKs maliciosos.
Durante a instalação, ele solicita acesso a permissões arriscadas, incluindo isenção de otimização de bateria, para poder rodar em segundo plano.
Os comandos que ele suporta variam conforme a variante, mas geralmente incluem o seguinte:
Os mais importantes com base no seu impacto potencial são:
- ransomware: Inicia o processo de criptografia de arquivos no dispositivo.
- wipe: Apaga todos os arquivos sob o caminho especificado.
- LockTheScreen: Bloqueia a tela do dispositivo, tornando-o inutilizável.
- sms_oku: Vaza todos os SMS (e códigos 2FA) para o servidor de comando e controle (C2).
- location_tracker: Vaza a localização ao vivo do dispositivo para o servidor C2.
As ações são controladas a partir de um painel central onde os atores de ameaças podem acessar informações sobre o dispositivo e o status e decidir sobre seus próximos passos de ataque.
De acordo com a análise da Check Point, em cerca de 10% dos casos, o comando de ransomware foi emitido.
O módulo de ransomware no Ratel RAT é projetado para executar esquemas de extorsão ao tomar controle do dispositivo da vítima e criptografar seus arquivos usando uma chave AES pré-definida.
Se os privilégios de DeviceAdmin foram obtidos no dispositivo, o ransomware ganha controle sobre funções cruciais do dispositivo, como a capacidade de alterar a senha da tela de bloqueio e adicionar uma mensagem personalizada na tela, muitas vezes a nota de resgate.
Se o usuário tentar revogar os privilégios de administrador, o ransomware pode reagir mudando a senha e bloqueando a tela imediatamente.
Os pesquisadores da Check Point observaram várias operações de ransomware envolvendo o Ratel RAT, incluindo um ataque do Irã que realizou reconhecimento usando as outras capacidades do Ratel RAT antes de executar o módulo de criptografia.
O atacante apagou o histórico de chamadas, mudou o papel de parede para exibir uma mensagem personalizada, bloqueou a tela, ativou a vibração do dispositivo e enviou um SMS contendo a nota de resgate, que instava a vítima a enviar uma mensagem para eles no Telegram para "resolver esse problema."
Para se defender desses ataques, evite baixar APKs de fontes duvidosas, não clique em URLs incorporadas em e-mails ou SMS e escaneie aplicativos com o Play Protect antes de lançá-los.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...