Ameaça digital contra celulares Android espiona e rouba dados

Três quartos de todos os dispositivos móveis rodam Android. No entanto, com sua ampla adoção e ambiente aberto, vem o risco de atividades maliciosas. O Malware Android, um software malicioso projetado para atingir dispositivos Android representa uma ameaça significativa à privacidade, segurança e integridade dos dados dos usuários.

Esses programas maliciosos surgem em várias formas, incluindo vírus, trojans, ransomware, spyware e adware, e podem se infiltrar nos dispositivos por meio de diversos vetores, como downloads de aplicativos, sites maliciosos, ataques de phishing e até vulnerabilidades do sistema.

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, identificou várias campanhas que utilizam o Rafel, uma ferramenta de acesso remoto, ou em inglês Remote Access Trojan (RAT), de código aberto direcionada a dispositivos Android.

A descoberta de um grupo de espionagem que usa o Rafel RAT em suas operações foi particularmente significativa, pois indica a eficácia da ferramenta em diversos perfis de atores de ameaças e objetivos operacionais.

"O Rafel RAT é mais um lembrete de como a tecnologia de malware de código aberto pode causar danos significativos, especialmente quando mira grandes ecossistemas como o Android, com quase 4 bilhões de usuários mundialmente. Como a maioria das vítimas afetadas está rodando versões Android não suportadas, é fundamental que elas mantenham seus dispositivos atualizados com as correções de segurança mais recentes ou substituí-las se não estiverem mais recebendo atualizações”, alerta Alexander Chailytko, gerente de Pesquisa e Inovação em Segurança Cibernética da Check Point Software.

Ele complementa que “os atacantes, e até grupos APT, estão sempre buscando maneiras de alavancar suas operações, especialmente com ferramentas prontamente disponíveis como o Rafel RAT, o que pode levar a exfiltração crítica de dados, usando códigos de autenticação de dois fatores vazados, tentativas de vigilância e operações encobertas, que são particularmente devastadoras quando usadas contra alvos de alto perfil".

Em uma divulgação anterior, a equipe da CPR identificou o APT-C-35 / DoNot Team utilizando o Rafel RAT. As funcionalidades e capacidades do Rafel, como acesso remoto, vigilância, exfiltração de dados e mecanismos de persistência, o tornam uma ferramenta potente para conduzir operações ocultas e infiltrar alvos de alto valor.

Os pesquisadores da CPR coletaram várias amostras de malware deste Android RAT e cerca de 120 servidores de comando e controle (C&C) e verificaram que os países mais visados foram os Estados Unidos, a China e a Indonésia.

Descobriram também que a maioria dos dispositivos comprometidos são Samsung, Xiaomi, Vivo e Huawei, refletindo a dominância dessas marcas no mercado.

Outros pontos principais destacados no relatório da Check Point Research são:

- Versões Android: A maioria dos dispositivos afetados roda versões desatualizadas do Android, destacando a necessidade de atualizações e patches de segurança regulares. O Android 11 é o mais predominante, seguido pelas versões 8 e 5. Apesar da variedade de versões do Android, o malware geralmente pode operar em todas. No entanto, as versões mais recentes do sistema operacional normalmente apresentam mais desafios para o malware executar suas funções ou exigem mais ações da vítima para serem eficazes.

- Ameaças Diversas: Desde espionagem até ransomware, as capacidades do Rafel RAT incluem acesso remoto, vigilância, roubo de dados e até criptografia de arquivos das vítimas.

- Casos: o Rafel RAT foi encontrado hospedado em um site governamental hackeado no Paquistão, redirecionando dispositivos infectados para reportar a esse servidor. E, em operações de ransomware, os pesquisadores viram casos de Rafel RAT sendo usado para criptografar arquivos de dispositivos, exigindo resgate para decriptação.

- Enganar 2FA: O malware também foi ligado ao roubo de mensagens de autenticação de dois fatores (2FA), potencialmente burlando essa medida de segurança crítica.

- Phishing: O malware Rafel RAT participa de campanhas de phishing em que as vítimas são enganadas para instalar Android Application Pack, ou Android Package (APKs) maliciosos disfarçados com nomes e ícones falsos, solicitando permissões extensas, exibindo sites legítimos que tenta imitar e, então, rastreando secretamente o dispositivo e vazando dados.

Proteção do usuário

Os pesquisadores da Check Point Software listam os principais passos que os usuários de Android devem seguir para se manterem seguros:

- Instale aplicativos de fontes confiáveis: Baixe e instale aplicativos apenas de fontes respeitáveis, como a Google Play Store. Evite lojas de aplicativos de terceiros e tenha cautela com apps que tenham poucos downloads ou avaliações ruins. Sempre verifique permissões e avaliações antes de instalar.

- Mantenha seu software atualizado: Atualize regularmente o sistema operacional Android e os aplicativos. As atualizações frequentemente incluem patches de segurança que protegem contra vulnerabilidades recém-descobertas. Ative as atualizações automáticas para garantir que você receba as proteções mais recentes sem demora.

- Use um aplicativo de segurança móvel confiável: Instale um aplicativo de segurança móvel respeitável que ofereça proteção em tempo real contra malware. Esses aplicativos podem escanear softwares maliciosos, detectar atividades suspeitas e fornecer recursos adicionais de segurança, como medidas antirroubo e navegação segura.