O malware atinge o sistema operacional do Google, especialmente aparelhos com versões mais antigas e sem suporte. Contudo, o arquivo malicioso também pode atingir as gerações mais novas, ainda que enfrente mais dificuldade para operar devido aos mecanismos recentes de privacidade e segurança.
Rafel RAT é transmitido via phishing
Segundo o relatório do laboratório da Check Point Software, o Rafel RAT é uma ferramenta de malware de código aberto (open source, em inglês) que oferece um “canivete suíço” para cibercriminosos operarem aparelhos com Android remotamente através de um painel intuitivo.
A distribuição é realizada por campanhas de phishing, quando atores maliciosos exploram mensagens e sites se passando por empresas e instituições governamentais para enganar as vítimas. É o caso de comunicados falsos por e-mail para informar o bloqueio de conta bancária ou que a senha do e-mail vai expirar, além de páginas com ofertas imperdíveis.
No caso do Rafel RAT, a CPR notou que o malware personifica aplicativos conhecidos, como o Instagram e WhatsApp. Em um exemplo compartilhado pelos pesquisadores, cibercriminosos exploraram a marca Mercado Pago com uma campanha de phishing que usa um clone do site oficial para distribuir um app com o nome da fintech.
A equipe do laboratório também identificou cerca de 120 campanhas maliciosas durante a análise, com a maior parte das vítimas concentradas na China, Estados Unidos e Indonésia. O malware também atingiu outras regiões, mas o relatório não menciona o Brasil — apesar do exemplo do Mercado Pago em português.
Além disso, o Rafel RAT atingiu principalmente celulares da Samsung, Xiaomi, Vivo e Huawei, as principais marcas do mercado internacional. A análise ainda aponta que 87,5% dos dispositivos atacados usam uma versão do Android que não tem mais suporte e não recebem mais atualizações de segurança.
Malware rouba dados e tem função de ransomware
Após a interceptação das vítimas através de campanhas de phishing, o malware é alocado no aparelho quando a pessoa baixa um app malicioso para o aparelho. Esse programa é usado para executar os arquivos que serão explorados pelo hacker para ter acesso ao celular e executar comandos remotamente.
Para isso, ao fazer o primeiro acesso, o software solicita diversas permissões, incluindo o acesso de administrador. A partir disso, o Rafel RAT proporciona o roubo de informações, como os arquivos e mensagens do dispositivo, sem que a vítima tenha conhecimento.
Algumas funções colocam o malware em destaque. É o caso da ferramenta de ransomware, que bloqueia o dispositivo e criptografa os arquivos, sequestrando-os remotamente. O programa malicioso ainda possui um recurso para solicitar que a vítima entre em contato com o hacker para reaver o acesso aos dados.
Os pesquisadores também informam que o malware possui mecanismos de defesa para evitar que seja detectado ou removido e pode ser usado até mesmo para roubar códigos de autenticação em duas etapas (2FA) enviados por SMS.
Como se proteger do malware
O malware é propagado através de campanhas maliciosas, que operam através de comunicações e sites falsos com nomes conhecidos. Sendo assim, o mesmo enfoque contra phishing é válido para essa situação: desconfie.
Ao receber uma mensagem ou e-mail de um remetente desconhecido, especialmente com promoções fora da realidade ou notificações de urgência, não clique em links ou baixe arquivos. Antes, verifique a procedência e entre em contato com a organização em questão para confirmar se a informação é verdadeira ou não.
Também é importante instalar aplicativos apenas por lojas conhecidas e confiáveis, como a Google Play Store, e evitar fontes desconhecidas, além de nunca oferecer permissões de administrador a softwares suspeitos. Outra dica é utilizar programas de antivírus para verificar se há arquivos maliciosos no dispositivo.
Você ainda pode usar plataformas como o verificador da NordVPN, Norton Safeweb, VirusTotal e outras ferramentas para saber se um link é seguro sem precisar clicar nele. Descubra também como identificar se um site é uma tentativa de phishing.