Telefono Android obsoleto? Attenzione agli attacchi ransomware del malware Ratel RAT.
Il malware Android noto come ‘Ratel RAT’ è ampiamente utilizzato da diversi cybercriminali per attaccare dispositivi obsoleti, con l’obiettivo di bloccarli con un modulo ransomware che richiede il pagamento su Telegram.
Ratel RAT: un malware pericoloso
Ratel RAT è un malware Android open-source che è stato rilevato in oltre 120 campagne da parte dei ricercatori Antonis Terefos e Bohdan Melnykov di Check Point. Alcune di queste campagne sono condotte da attori della minaccia noti, come APT-C-35 (DoNot Team), mentre in altri casi l’origine del malware è stata rintracciata in Iran e Pakistan.
I bersagli di Ratel RAT includono organizzazioni ad alto profilo, tra cui nel settore governativo e militare, con la maggior parte delle vittime che si trovano negli Stati Uniti, in Cina e in Indonesia.
Dispositivi Android obsoleti: un bersaglio facile
In molti dei casi esaminati da Check Point, le vittime utilizzavano una versione di Android che era arrivata alla fine del ciclo di vita (EoL) e non riceveva più aggiornamenti di sicurezza, rendendoli vulnerabili a vulnerabilità note e pubblicate. Si tratta di Android versioni 11 e precedenti, che rappresentano oltre l’87,5% del totale. Solo il 12,5% degli smartphone infetti eseguiva Android 12 o 13.
I dispositivi Android di diverse marche e modelli sono stati colpiti da Ratel RAT, tra cui Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, e dispositivi OnePlus, Vivo e Huawei. Questo dimostra che Ratel RAT è un efficace strumento di attacco contro una varietà di implementazioni Android.
Come si diffonde Ratel RAT
Ratel RAT si diffonde attraverso vari mezzi, con i criminali che abusano di brand noti come Instagram, WhatsApp, piattaforme di e-commerce o app antivirus per indurre le persone a scaricare file APK dannosi. Durante l’installazione, richiede l’accesso a permessi rischiosi, tra cui l’esenzione dall’ottimizzazione della batteria per poter funzionare in background.
Comandi pericolosi di Ratel RAT
I comandi supportati da Ratel RAT variano a seconda della variante, ma i più importanti basati sul loro potenziale impatto sono:
- ransomware: Inizia il processo di crittografia dei file sul dispositivo.
- wipe: Cancella tutti i file sotto la directory specificata.
- LockTheScreen: Blocca lo schermo del dispositivo, rendendolo inutilizzabile.
- sms_oku: Ruba tutti i messaggi SMS (e i codici 2FA) e li invia al server di controllo e comando (C2).
- location_tracker: Traccia la posizione in tempo reale del dispositivo e la invia al server C2.
Gli attacchi sono controllati da un pannello centrale in cui gli attori delle minacce possono accedere alle informazioni sul dispositivo e lo stato e decidere i passaggi successivi dell’attacco.
Consigli per la sicurezza Android
Per proteggere il tuo dispositivo Android dai malware come Ratel RAT, segui queste best practice:
- Mantieni aggiornato il tuo dispositivo: Installa sempre gli aggiornamenti di sicurezza più recenti per il tuo dispositivo Android.
- Scarica solo app da fonti attendibili: Evita di scaricare app da fonti sconosciute o non attendibili.
- Verifica le autorizzazioni delle app: Prima di installare un’app, controlla le autorizzazioni richieste e assicurati che siano pertinenti alle funzionalità dell’app.
- Installa un’app antivirus: Proteggi il tuo dispositivo con un’app antivirus affidabile.
- Esegui il backup dei dati: Esegui il backup dei dati importanti regolarmente per evitare la perdita di dati in caso di attacco ransomware.
- Evita di cliccare su link sospetti: Non fare clic su link sospetti o apr
