Los ciberdelincuentes han empezado a atacar dispositivos Android antiguos utilizando un malware de código abierto llamado Ratel RAT. De hecho, se trata de un tipo de ransomware para Android que cifra o elimina datos, bloquea el dispositivo y exige un pago en Telegram.
Los investigadores de Check Point informan haber detectado más de 120 campañas que utilizan Ratel RAT. Las fuentes de los ataques incluyen APT-C-35 (DoNot Team), Irán y Pakistán. Los atacantes se dirigen a organizaciones de alto rango, incluidas las del sector gubernamental y militar, y la mayoría de las víctimas proceden de Estados Unidos, China e Indonesia.
En la mayoría de las infecciones que Check Point ha investigado, las víctimas utilizaban una versión de Android que había llegado al final de su ciclo de soporte y ya no recibía actualizaciones de seguridad. Esto incluye Android 11 y versiones anteriores, que representan más del 87,5% del número total de dispositivos infectados. Sólo el 12,5% de los dispositivos infectados ejecutan Android 12 o 13. Las víctimas incluyen smartphones de varias marcas, como Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, así como dispositivos de OnePlus, Vivo y Huawei. Esto demuestra que Ratel RAT es una herramienta de ataque eficaz contra diversas implementaciones de Android.
Ratel RAT se propaga de varias maneras. Los atacantes suelen utilizar Instagram, WhatsApp, plataformas de comercio electrónico y aplicaciones antivirus para engañar a la gente para que descargue archivos APK maliciosos. Durante la instalación, el ransomware solicita acceso a permisos arriesgados para ejecutarse en segundo plano.
Ratel RAT tiene varias variantes que difieren en la lista de comandos que soportan. Normalmente hacen lo siguiente:
- Ransomware: inicia el proceso de cifrado de los archivos del dispositivo.
- wipe: borra todos los archivos de la ruta especificada.
- LockTheScreen: Bloquea la pantalla del dispositivo, dejándolo inutilizable.
- sms_oku: fuga de todos los SMS (y códigos 2FA) al servidor de gestión (C2).
- location_tracker: transmite la ubicación actual del dispositivo al servidor C2.
Las acciones se supervisan desde un panel central, donde los atacantes pueden acceder a la información sobre el dispositivo y su estado y decidir los siguientes pasos del ataque.
Según el análisis de Check Point, en aproximadamente el 10% de los casos se emitió una orden para utilizar ransomware. En este caso, los archivos se cifran en el smartphone de la víctima utilizando una clave AES predefinida, tras lo cual los atacantes exigen un rescate.
Al obtener privilegios de DeviceAdmin, el ransomware tiene control sobre funciones clave del dispositivo, como la capacidad de cambiar la contraseña de bloqueo de pantalla y añadir un mensaje especial a la pantalla, a menudo un mensaje de rescate. Si el usuario intenta revocar los privilegios de administrador, el ransomware puede reaccionar cambiando la contraseña y bloqueando inmediatamente la pantalla.
Spelling error report
The following text will be sent to our editors: