Un nou malware cu sursă deschisă, numit „Ratel RAT”, reprezintă o amenințare majoră pentru utilizatorii de Android. Ratel RAT este desfășurat pe scară largă de infractori cibernetici care vizează în special dispozitivele învechite, utilizând un modul ransomware ce solicită plata prin Telegram.
Cercetătorii Antonis Terefos și Bohdan Melnykov de la Check Point au raportat peste 120 de campanii care utilizează malware-ul Ratel RAT. Aceste campanii sunt desfășurate de actori cunoscuți ai amenințărilor, precum APT-C-35 (DoNot Team), și de grupuri din Iran și Pakistan.
Printre țintele vizate de Ratel RAT se numără organizații de profil înalt, inclusiv din sectorul guvernamental și militar. Majoritatea victimelor sunt localizate în Statele Unite, China și Indonezia.
În majoritatea cazurilor analizate de Check Point, victimele rulau versiuni de Android care ajunseseră la sfârșitul vieții (EoL) și nu mai primeau actualizări de securitate. Astfel, dispozitivele erau vulnerabile la defecte cunoscute și publicate. Versiunile Android 11 și mai vechi reprezentau peste 87,5% din totalul dispozitivelor infectate, în timp ce doar 12,5% rulau Android 12 sau 13.
Pericolul pentru Android cu Descoperirea de ULTIMA ORA a unui Malware Sofisticat
Ratel RAT atacă o gamă largă de mărci și modele de dispozitive Android, inclusiv Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, OnePlus, Vivo și Huawei. Acest lucru demonstrează eficiența malware-ului în atacarea diferitelor implementări Android.
Ratel RAT este răspândit prin diverse mijloace, actorii amenințărilor abuzând de mărci cunoscute precum Instagram, WhatsApp, platforme de comerț electronic sau aplicații antivirus pentru a păcăli utilizatorii să descarce APK-uri rău intenționate. În timpul instalării, malware-ul solicită acces la permisiuni riscante, inclusiv scutirea de la optimizarea bateriei, pentru a putea rula în fundal.
Comenzile acceptate de Ratel RAT variază în funcție de variantă, dar în general includ funcții de monitorizare și control la distanță. Modulul ransomware din Ratel RAT este conceput pentru a executa scheme de extorcare prin preluarea controlului asupra dispozitivului victimei și criptarea fișierelor acestora folosind o cheie AES predefinită.
Dacă privilegiile DeviceAdmin au fost obținute pe dispozitiv, ransomware-ul câștigă controlul asupra funcțiilor esențiale ale dispozitivului, cum ar fi capacitatea de a schimba parola ecranului de blocare și de a adăuga un mesaj personalizat pe ecran, adesea nota de răscumpărare. În cazul în care utilizatorul încearcă să revoce privilegiile de administrator, ransomware-ul poate reacționa rapid, schimbând parola și blocând ecranul imediat.
Malware-ul Ratel RAT reprezintă o amenințare semnificativă pentru securitatea dispozitivelor Android, în special a celor care rulează versiuni învechite. Utilizatorii sunt sfătuiți să își actualizeze sistemele de operare la cele mai recente versiuni și să fie vigilenți la descărcarea aplicațiilor din surse neoficiale pentru a preveni infectarea cu acest tip de malware.