Un malware Android open source nommé « Ratel RAT » est largement déployé par plusieurs cybercriminels pour attaquer des appareils obsolètes, certains visant à les verrouiller avec un module de ransomware qui exige un paiement sur Telegram.

Les chercheurs Antonis Terefos et Bohdan Melnykov de Check Point rapportent avoir détecté plus de 120 campagnes utilisant le malware Rafel RAT.

Des acteurs connus de la menace mènent certaines de ces campagnes, comme APT-C-35 (Équipe DoNot), tandis que dans d’autres cas, l’Iran et le Pakistan ont été déterminés comme étant à l’origine de l’activité malveillante.

En ce qui concerne les cibles, Check Point mentionne le ciblage réussi d’organisations de haut niveau, y compris au sein du gouvernement et du secteur militaire, la plupart des victimes étant originaires des États-Unis, de Chine et d’Indonésie.

Dans la plupart des infections examinées par Check Point, les victimes utilisaient une version Android qui avait atteint la fin de vie (EoL) et ne recevait plus de mises à jour de sécurité, ce qui la rendait vulnérable aux failles connues/publiées.

Il s’agit des versions Android 11 et antérieures, qui représentaient plus de 87,5% du total. Seulement 12,5% des appareils infectés exécutent Android 12 ou 13.

En ce qui concerne les marques et les modèles ciblés, il y a un mélange de tout, y compris Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One et des appareils de OnePlus, Vivo et Huawei. Cela prouve que Ratel RAT est un outil d’attaque efficace contre un éventail d’implémentations Android différentes.

Attaques de RATS Ratel
Ratel RAT se propage par divers moyens, mais les auteurs de menaces abusent généralement de marques connues telles qu’Instagram, WhatsApp, les plateformes de commerce électronique ou les applications antivirus pour inciter les gens à télécharger des fichiers APK malveillants.

Fausses applications regroupant un programme d’installation RatelRAT

Lors de l’installation, il demande l’accès aux autorisations risquées, y compris l’exemption de l’optimisation de la batterie, pour être autorisé à s’exécuter en arrière-plan.

Les commandes qu’il prend en charge varient selon les variantes, mais incluent généralement les suivantes:

Les plus importants de ceux basés sur leur impact potentiel sont:

  • ransomware: Démarre le processus de cryptage des fichiers sur l’appareil.
  • effacer: Supprime tous les fichiers sous le chemin spécifié.
  • Verrouiller l’écran: Verrouille l’écran de l’appareil, rendant l’appareil inutilisable.
  • sms_oku: Fuit tous les SMS (et codes 2FA) vers le serveur de commande et de contrôle (C2).
  • location_tracker: Divulgue l’emplacement du périphérique en direct au serveur C2.

Les actions sont contrôlées à partir d’un panneau central où les acteurs de la menace peuvent accéder aux informations sur l’appareil et l’état et décider des prochaines étapes de leur attaque.

Vue d’ensemble de l’appareil infecté sur le panneau RatelRAT

Selon l’analyse de Check Point, dans environ 10% des cas, la commande de ransomware a été émise.

Commandes les plus fréquemment émises

Attaques par ransomware
Le module ransomware de Rafael RAT est conçu pour exécuter des stratagèmes d’extorsion en prenant le contrôle de l’appareil de la victime et en cryptant ses fichiers à l’aide d’une clé AES prédéfinie.

Les méthodes de cryptage de Rafael RAT

Si les privilèges DeviceAdmin ont été obtenus sur l’appareil, le ransomware prend le contrôle des fonctions cruciales de l’appareil, telles que la possibilité de modifier le mot de passe de l’écran de verrouillage et d’ajouter un message personnalisé à l’écran, souvent la demande de rançon.

Si l’utilisateur tente de révoquer les privilèges d’administrateur, le ransomware peut réagir en modifiant le mot de passe et en verrouillant immédiatement l’écran.

Mécanisme de réaction contre les tentatives de révocation de privilèges

Les chercheurs de Check Point ont observé plusieurs opérations de ransomware impliquant Travel RATE, y compris une attaque en provenance d’Iran qui a effectué une reconnaissance à l’aide des autres capacités de Ratel RAT avant d’exécuter le module de cryptage.

L’attaquant a effacé l’historique des appels, changé le fond d’écran pour afficher un message personnalisé, verrouillé l’écran, activé les vibrations de l’appareil et envoyé un SMS contenant la note de rançon, qui exhortait la victime à lui envoyer un message sur Telegram pour « résoudre ce problème. »

Pour vous défendre contre ces attaques, évitez les téléchargements d’APK à partir de sources douteuses, ne cliquez pas sur les URL intégrées dans les e-mails ou les SMS et analysez les applications avec Play Protect avant de les lancer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *