Los ciberdelincuentes han empezado a atacar dispositivos Android antiguos utilizando un malware de código abierto llamado Ratel RAT. De hecho, se trata de un tipo de ransomware para Android que cifra o elimina datos, bloquea el dispositivo y exige un pago en Telegram.
Los investigadores de Check Point informan haber detectado más de 120 campañas que utilizan Ratel RAT. Las fuentes de los ataques incluyen APT-C-35 (DoNot Team), Irán y Pakistán. Los atacantes se dirigen a organizaciones de alto rango, incluidas las del sector gubernamental y militar, y la mayoría de las víctimas proceden de Estados Unidos, China e Indonesia.
En la mayoría de las infecciones que Check Point ha investigado, las víctimas utilizaban una versión de Android que había llegado al final de su ciclo de soporte y ya no recibía actualizaciones de seguridad. Esto incluye Android 11 y versiones anteriores, que representan más del 87,5% del número total de dispositivos infectados. Sólo el 12,5% de los dispositivos infectados ejecutan Android 12 o 13. Las víctimas incluyen smartphones de varias marcas, como Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, así como dispositivos de OnePlus, Vivo y Huawei. Esto demuestra que Ratel RAT es una herramienta de ataque eficaz contra diversas implementaciones de Android.
Ratel RAT se propaga de varias maneras. Los atacantes suelen utilizar Instagram, WhatsApp, plataformas de comercio electrónico y aplicaciones antivirus para engañar a la gente para que descargue archivos APK maliciosos. Durante la instalación, el ransomware solicita acceso a permisos arriesgados para ejecutarse en segundo plano.
Ratel RAT tiene varias variantes que difieren en la lista de comandos que soportan. Normalmente hacen lo siguiente:
Las acciones se supervisan desde un panel central, donde los atacantes pueden acceder a la información sobre el dispositivo y su estado y decidir los siguientes pasos del ataque.
Según el análisis de Check Point, en aproximadamente el 10% de los casos se emitió una orden para utilizar ransomware. En este caso, los archivos se cifran en el smartphone de la víctima utilizando una clave AES predefinida, tras lo cual los atacantes exigen un rescate.
Al obtener privilegios de DeviceAdmin, el ransomware tiene control sobre funciones clave del dispositivo, como la capacidad de cambiar la contraseña de bloqueo de pantalla y añadir un mensaje especial a la pantalla, a menudo un mensaje de rescate. Si el usuario intenta revocar los privilegios de administrador, el ransomware puede reaccionar cambiando la contraseña y bloqueando inmediatamente la pantalla.
Los investigadores de Check Point han observado varias operaciones de ransomware con la RAT Ratel, incluido un ataque desde Irán. El malware realizó un reconocimiento utilizando otras capacidades de Ratel RAT, tras lo cual se lanzó el módulo de cifrado. El atacante borraba el historial de llamadas, cambiaba el fondo de pantalla para mostrar un mensaje especial, bloqueaba la pantalla, activaba la vibración del dispositivo y enviaba un SMS con el ransomware. El mensaje instaba a la víctima a enviarles un mensaje en Telegram para «solucionar el problema».
Para protegerte de los ataques de Ratel RAT, debes evitar descargar APK de fuentes dudosas, no hacer clic en URL incrustadas en correos electrónicos o SMS, y escanear las apps con Play Protect antes de iniciarlas.
Fuente: bleepingcomputer