Directoratul Naţional de Securitate Cibernetică (DNSC) a transmis joi o alertă care vizează utilizatorii de Android, semnalând prezența în România a malware-ului Rafel Remote Access Tool (RAT). Acesta permite atacatorilor să gestioneze de la distanţă dispozitivele infectate, fără ca proprietarii să fie conștienți de aceasta.
Malware-ul poate evita detecția pentru perioade extinse, ceea ce îi sporește eficiența în cadrul atacurilor. „Rafel RAT reprezintă o ameninţare cibernetică majoră, ce poate fi folosită pentru spionaj și atacuri ransomware sofisticate. Evoluţia sa de la un simplu instrument de spionaj la un malware multifuncțional reflectă adaptabilitatea şi pericolul pe care îl reprezintă pentru utilizatorii de dispozitive cu sistem de operare Android”, a transmis DNSC în cadrul alertei.
Potrivit specialiştilor, aplicaţia a fost dezvoltată iniţial în anul 2021 şi distribuită gratuit prin intermediul GitHub, fiind preluată şi dezvoltată inclusiv de grupări de tip Advanced Persistent Threat (APT). Rafel RAT a câștigat rapid notorietate în rândul infractorilor cibernetici datorită capacităților sale extinse și modului facil de utilizare, generând preocupări serioase atât pentru utilizatorii de platforme Android, cât şi pentru experţii în securitate cibernetică.
„A fost utilizat în numeroase atacuri cibernetice în diverse regiuni, cu accent pe frauda financiară și spionajul corporativ. Rafel RAT a fost dezvoltat şi distribuit inițial pentru a obține acces la date sensibile de pe dispozitivele Android infectate, cum ar fi mesaje SMS, jurnale de apeluri, contacte, parole stocate, locații şi fișiere media. Malware-ul a fost adaptat ulterior pentru a efectua atacuri de tip ransomware, criptând fișierele utilizatorilor şi cerând răscumpărări pentru deblocarea acestora”, a mai transmis DNSC.
Majoritatea victimelor acestor atacuri au utilizat telefoane Samsung, Xiaomi, Vivo şi Huawei, iar 87,5% dintre dispozitivele utilizate aveau un sistem de operare Android depăşit, care nu mai beneficia de actualizări de securitate. Ultima campanie, desfășurată în 2024, a avut ca ținte entități de rang înalt pe o arie geografică foarte largă, incluzând Australia, China, Franţa, Germania, Italia, Pakistan, România şi SUA.
„În unele atacuri, victimele au fost convinse să instaleze RAT-ul prin intermediul unor aplicații foarte cunoscute (cum ar fi Black WhatsApp, Story Saver for Instagram etc.), aplicații de suport sau soluții antivirus. În alte cazuri, atacurile au avut loc prin email-uri care foloseau tehnici de inginerie socială pentru a convinge destinatarii să deschidă documente atașate sau să acceseze site-uri web infectate, instalând astfel malware-ul pe dispozitivele proprii. Niciunul dintre aceste atacuri nu necesită acces cu drept de administrator (root), astfel încât acestea operează cu succes pe dispozitive cu sisteme de operare nemodificate”, mai arată DNSC.
Malware-ul funcționează foarte bine pe Android 12 şi versiunile anterioare, dar au fost înregistrate atacuri reușite şi asupra dispozitivelor cu Android versiunea 13. „Conştientizarea şi măsurile de protecţie adecvate sunt importante pentru a preveni infectarea şi pierderea datelor. Datorită mecanismelor de protecţie specifice, Rafel RAT adesea nu este detectat de softwareul antivirus clasic”, a transmis DNSC. Specialiştii recomandă implementarea unor măsuri de bază de securitate cibernetică.