Alertă DNSC: Ameninţare ce vizează utilizatorii de Android. Telefoanele pot fi infectate de la distanţă, fără să știe

Diferențele dintre telefoanele Samsung și Android și de ce apare confuzia la nivelul utilizatorilor obișnuiți
Shutterstock

Directoratul Naţional de Securitate Cibernetică (DNSC) a transmis, joi, o alertă ce vizează utilizatorii de Android.

Rafel Remote Access Tool (RAT) conferă atacatorilor capacitatea de a gestiona dispozitivele infectate de la distanţă, fără ca proprietarii acestora să fie conştienţi de prezenţa sa.

Potrivit DNSC, malware-ul poate evita detecţia pentru perioade extinse, ceea ce îi sporeşte eficienţa în cadrul atacurilor.

Recent, acesta a fost semnalat ca fiind prezent şi în România.

”Rafel RAT reprezintă o ameninţare cibernetică majoră, ce poate fi folosită pentru spionaj şi atacuri ransomware sofisticate. Evoluţia sa de la un simplu instrument de spionaj la un malware multifuncţional reflectă adaptabilitatea şi pericolul pe care îl reprezintă pentru utilizatorii de dispozitive cu sistem de operare Android”, a transmis DNSC în cadrul alertei.

Citește și
student la laptop
Noile generații de chip-uri pentru laptop-uri, tablete sau telefoane au o unitate dedicată pentru AI

Potrivit specialiştilor, aplicaţia a fost dezvoltată iniţial în anul 2021 şi distribuită gratuit prin intermediul GitHub fiind preluată şi dezvoltată inclusiv de grupări de tip Advanced Persistent Threat (APT).

Rafel RAT a câştigat rapid notorietate în rândul infractorilor cibernetici datorită capacităţilor sale extinse şi modului facil de utilizare, generând preocupări serioase atât pentru utilizatorii de platforme Android cât şi pentru experţii în securitate cibernetică.

”A fost utilizat în numeroase atacuri cibernetice în diverse regiuni, cu accent pe frauda financiară şi spionajul corporativ. Rafel RAT a fost dezvoltat şi distribuit iniţial pentru a obţine acces la date sensibile de pe dispozitivele Android infectate, cum ar fi mesaje SMS, jurnale de apeluri, contacte, parole stocate, locaţii şi fişiere media. Malware-ul a fost adaptat ulterior pentru a efectua atacuri de tip ransomware, criptând fişierele utilizatorilor şi cerând răscumpărări pentru deblocarea acestora”, a mai transmis DNSC.

Potrivit specialiştilor, majoritatea victimelor acestor atacuri au utilizat telefoane Samsung, Xiaomi, Vivo şi Huawei, iar 87,5% dintre dispozitivele utilizate aveau un sistem de operare Android depăşit ce nu mai beneficia de actualizări de securitate.

”Ultima campanie, desfăşurată în 2024, a avut ca ţinte entităţi de rang înalt, pe o arie geografică foarte largă, ce cuprinde Australia, China, Franţa, Germania, Italia, Pakistan, România, şi SUA. În unele atacuri, victimele au fost convinse să instaleze RAT-ul prin intermediul unor aplicaţii foarte cunoscute (cum ar fi Black WhatsApp, Story Saver for Instagram etc.), aplicaţii de suport sau soluţii antivirus. În alte cazuri, atacurile au avut loc prin email-uri care foloseau tehnici de inginerie socială pentru a convinge destinatarii să deschidă documente ataşate sau să acceseze site-uri web infectate, instalând astfel malware-ul pe dispozitivele proprii. Niciunul dintre aceste atacuri nu necesită acces cu drept de administrator (root), astfel încât acestea operează cu succes pe dispozitive cu sisteme de operare nemodificate”, mai arată DNSC.

Potrivit specialişrilor, Rafel RAT funcţionează foarte bine pe Android 12 şi versiunile anterioare, dar au fost înregistrate atacuri reuşite şi asupra dispozitivelor cu Android versiunea 13.

Metode de distribuţie (vectori de atac)

• E-mailuri de tip phishing: Infractorii cibernetici folosesc adesea e-mailuri atent concepute care par a fi din surse legitime, conţinând link-uri sau ataşamente care, atunci când sunt accesate, duc la instalarea Rafel RAT.

• Site-uri web maliţioase: Utilizatorii pot fi înşelaţi să viziteze site-uri web compromise sau false care exploatează vulnerabilităţi în sistemul Android sau folosesc tehnici de inginerie socială pentru a convinge utilizatorii să descarce malware-ul.

• Aplicaţii false: Rafel RAT este frecvent deghizat ca aplicaţie legitimă, precum actualizări de sistem, jocuri populare sau aplicaţii utilitare. Acestea sunt distribuite prin magazine de aplicaţii neoficiale sau link-uri de descărcare directă.

• SMS şi conturi de social media: Atacatorii pot folosi mesaje text sau platforme de social media pentru a răspândi link-uri către aplicaţii sau site-uri web infectate. Mod de instalare Odată ce aplicaţia maliţioasă este descărcată, aceasta solicită un set extins de permisiuni de la utilizator. Aceste permisiuni includ adesea acces la contacte, SMS-uri, jurnale de apeluri, cameră, microfon, stocare şi date de localizare. Malware-ul poate folosi tactici înşelătoare pentru a convinge utilizatorii să acorde aceste permisiuni, cum ar fi faptul că sunt necesare pentru funcţionalitatea aplicaţiei.

Capacităţi şi funcţionalitate

• Furt de date: Rafel RAT poate accesa şi extrage o gamă largă de date sensibile, cum ar fi: contacte, mesaje SMS (inclusiv coduri 2FA), jurnale de apeluri, istoricul de navigare, parole stocate, informaţii financiare.

• Înregistrare audio şi video: Malware-ul poate activa silenţios microfonul şi camera dispozitivului pentru a înregistra acţiunile şi împrejurimile utilizatorului.

• Capturi de ecran: Poate face capturi de ecran ale dispozitivului, putând extrage informaţii sensibile precum datele de autentificare (utilizator, parole, PIN-uri).

• Acces la fişiere: Rafel RAT poate naviga şi descărca fişiere stocate pe dispozitiv, inclusiv fotografii, documente şi copii de siguranţă.

• Urmărire GPS: Malware-ul poate monitoriza şi raporta locaţia dispozitivului în timp real.

• Control de la distanţă: Atacatorii pot folosi Rafel RAT pentru a executa comenzi pe dispozitivul infectat, prin instalarea unor module suplimentare ale malware-ului sau prin desfăşurarea unor acţiuni neautorizate.

• Keylogging: Poate înregistra tastele apăsate, capturând parole şi alte date sensibile.

• Manipularea aplicaţiilor: Rafel RAT poate lansa aplicaţii, modifica setările aplicaţiilor şi chiar dezinstala software-ul de securitate.

• Compatibilitate extinsă: Suport pentru versiuni Android de la v5 la v13, acoperind o gamă largă de dispozitive vulnerabile.

• Evitarea detectării: Evită detecţia de către PlayProtect şi alte soluţii de securitate pentru dispozitivele mobile.

RECOMANDĂRI

”Conştientizarea şi măsurile de protecţie adecvate sunt importante pentru a preveni infectarea şi pierderea datelor. Datorită mecanismelor de protecţie specifice, Rafel RAT adesea nu este detectat de softwareul antivirus clasic”, a transmis DNSC.

Specialiştii recomandă implementarea următoarelor măsuri de bază de securitate cibernetică:

• Sporirea vigilenţei este principalul atu avut oricând la dispoziţie de către un utilizator obişnuit. Manifestaţi atenţie la verificarea e-mailurilor primite, în special a celor care conţin ataşamente sau link-uri suspecte!

• Descărcaţi aplicaţiile doar din surse de încredere, folosind doar magazinele oficiale, cum ar fi Google Play Store.

• Analizaţi cu atenţie permisiunile aplicaţiilor solicitate la instalare sau la actualizare şi fiţi precauţi la aplicaţiile care solicită permisiuni excesive sau inutile.

• Scanaţi cu o soluţie de securitate instalată pe dispozitiv sau cu una disponibilă gratis online, linkurile sau ataşamentele suspecte. Nu uitaţi să aplicaţi la timp update-urile pentru aceste soluţii de securitate!

• Pentru a vă proteja eficient împotriva ransomware, trebuie să vă concentraţi în principal pe poarta principală de acces a acestuia: comunicarea prin e-mail. Acestea se ascund adesea sub forma unor fişiere, aparent legitime, ce permit atacatorilor accesul la sistem şi rularea unor programe de exfiltrare şi/sau criptare a fişierelor de pe dispozitivele compromise.

• Actualizaţi de urgenţă sistemele de operare, programele antivirus, browser-ele web, clienţii de e-mail şi alte programe utilitare.

• Realizaţi periodic sesiuni de training cu personalul. Acestea sunt necesare atât pentru conştientizare/prevenire, cât şi pentru a şti ce este de făcut în cazurile în care au loc incidente de securitate cibernetică, astfel încât acestea să fie gestionate eficient.

• Nu ezitaţi să contactaţi Directoratul Naţional de Securitate Cibernetică (DNSC), în cazul în care suspectaţi că dispozitivele din cadrul entităţii dumneavoastră au fost compromise sau sunteţi subiectul unui atac cibernetic.

Articol recomandat de sport.ro
Gigi Becali a bătut palma cu Dan Șucu și a obținut un profit de 100 de milioane de euro: "S-a ținut de cuvânt"
Gigi Becali a bătut palma cu Dan Șucu și a obținut un profit de 100 de milioane de euro: "S-a ținut de cuvânt"
Citește și...
Lovitură pentru posesorii de telefoane iPhone. Serviciul pe care Apple a decis să-l închidă
Lovitură pentru posesorii de telefoane iPhone. Serviciul pe care Apple a decis să-l închidă

Apple anunţă că urmează să închidă serviciul financiar Pay Later, la doar câteva luni după ce l-a lansat în Statele Unite.

Noile generații de chip-uri pentru laptop-uri, tablete sau telefoane au o unitate dedicată pentru AI
Noile generații de chip-uri pentru laptop-uri, tablete sau telefoane au o unitate dedicată pentru AI

Păi dacă nu are AI pe broșură, e ca și cum nu există. Și e valabil și pentru procesoare.

iLikeIT. Apple va prezenta noi funcții de accesibilitate pentru persoanele cu deficiențe locomotorii
iLikeIT. Apple va prezenta noi funcții de accesibilitate pentru persoanele cu deficiențe locomotorii

Vedem ce modificări importante aduc producătorii de telefoane mobile și tablete în următoarea perioadă. Marian Andrei are detalii.

Recomandări
Cod portocaliu și galben de viscol şi vânt în mai multe zone din țară. Care sunt județele afectate de vreme rea. HARTĂ
Cod portocaliu și galben de viscol şi vânt în mai multe zone din țară. Care sunt județele afectate de vreme rea. HARTĂ

Administraţia Naţională de Meteorologie a emis, joi dimineață, o avertizare Cod portocaliu de vânt puternic, valabilă până joi seară, și două avertizări Cod galben de viscol şi vânt puternic, valabile până vineri dimineață.

Misterul care înconjoară prăbușirea avionului Azerbaijan Airlines. Imagini de la bord surprinse înainte de tragedie
Misterul care înconjoară prăbușirea avionului Azerbaijan Airlines. Imagini de la bord surprinse înainte de tragedie

Continuă ancheta în cazul tragediei aviatice din Kazahstan. Autoritățile au găsit cutia neagră a aparatului de zbor, cu ultimele convorbiri din cabina de pilotaj.

Moșul a adus „dovada” greșită. Boarding Pass: Facturile arătate de Marcel Ciolacu, emise după zborurile „problematice”
Moșul a adus „dovada” greșită. Boarding Pass: Facturile arătate de Marcel Ciolacu, emise după zborurile „problematice”

Boarding Pass, site specializat în ştiri din aviaţie, continuă verificările vizând facturile prezentate de prim-ministrul Marcel Ciolacu ca dovadă a faptului că și-a achitat personal călătoriile cu avioane private în 2022.