Quando se trata de dispositivos móveis, o Android é o sistema operacional mais popular no mundo e usado por mais de 3,9 bilhões de usuários ativos em mais de 190 países. O Brasil com a China, Índia, Estados Unidos e a Rússia são os países que têm o maior número de assinantes de celulares.

Três quartos de todos os dispositivos móveis rodam Android. No entanto, com sua ampla adoção e ambiente aberto, vem o risco de atividades maliciosas. O Malware Android, um software malicioso projetado para atingir dispositivos Android representa uma ameaça significativa à privacidade, segurança e integridade dos dados dos usuários.

Esses programas maliciosos surgem em várias formas, incluindo vírus, trojans, ransomware, spyware e adware, e podem se infiltrar nos dispositivos por meio de diversos vetores, como downloads de aplicativos, sites maliciosos, ataques de phishing e até vulnerabilidades do sistema.

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, identificou várias campanhas que utilizam o Rafel, uma ferramenta de acesso remoto, ou em inglês Remote Access Trojan (RAT), de código aberto direcionada a dispositivos Android.

A descoberta de um grupo de espionagem que usa o Rafel RAT em suas operações foi particularmente significativa, pois indica a eficácia da ferramenta em diversos perfis de atores de ameaças e objetivos operacionais.

“O Rafel RAT é mais um lembrete de como a tecnologia de malware de código aberto pode causar danos significativos, especialmente quando mira grandes ecossistemas como o Android, com quase 4 bilhões de usuários mundialmente. Como a maioria das vítimas afetadas está rodando versões Android não suportadas, é fundamental que elas mantenham seus dispositivos atualizados com as correções de segurança mais recentes ou substituí-las se não estiverem mais recebendo atualizações”, alerta Alexander Chailytko, gerente de Pesquisa e Inovação em Segurança Cibernética da Check Point Software.

Ele complementa que “os atacantes, e até grupos APT, estão sempre buscando maneiras de alavancar suas operações, especialmente com ferramentas prontamente disponíveis como o Rafel RAT, o que pode levar a exfiltração crítica de dados, usando códigos de autenticação de dois fatores vazados, tentativas de vigilância e operações encobertas, que são particularmente devastadoras quando usadas contra alvos de alto perfil”.

Em uma divulgação anterior, a equipe da CPR identificou o APT-C-35 / DoNot Team utilizando o Rafel RAT. As funcionalidades e capacidades do Rafel, como acesso remoto, vigilância, exfiltração de dados e mecanismos de persistência, o tornam uma ferramenta potente para conduzir operações ocultas e infiltrar alvos de alto valor.

Os pesquisadores da CPR coletaram várias amostras de malware deste Android RAT e cerca de 120 servidores de comando e controle (C&C) e verificaram que os países mais visados foram os Estados Unidos, a China e a Indonésia.