Il malware Ratel RAT dimostra l'importanza degli aggiornamenti su Android (e della prudenza)

Come abbiamo anticipato, l'obbiettivo di Ratel RAT è iniettare un ransomware in modo da bloccare il telefono e chiedere agli utenti un pagamento su Telegram per poter recuperare i dati. 

Gli autori dello studio, pubblicato su Check Point, riferiscono che le vittime sono in particolar modo provenienti dagli Stati Uniti, dalla Cina e dall'Indonesia (ma anche da Italia e Francia), e appartengono a organizzazioni di alto profilo, anche nel settore governativo e militare (al che ci si potrebbe chiedere perché non abbiano telefoni aggiornati e perché possano installare sui loro telefoni app come quelle che vedremo nel capitolo successivo).

Stando ai dati raccolti, infatti, le vittime erano dotate di un telefono che non riceveva più aggiornamenti di sicurezza. Nella maggior parte dei casi, l'87,5% del totale, si trattava di Android 11 o precedenti, mentre il 12,5% dei dispositivi infetti era aggiornato ad Android 12 o Android 13.

Per quanto riguarda i marchi e i modelli di telefoni presi di mira, variano da Samsung Galaxy, Google Pixel, Xiaomi Redmi, e Motorola One ai telefoni OnePlus, Vivo e Huawei.

Vista la varietà degli attacchi, non c'è un unico autore: i ricercatori hanno riscontrato evidenze che si tratti del gruppo APT-C-35 (DoNot Team) oltre a gruppi da Iran e Pakistan, ma non solo i soli.

Ratel RAT è quindi un malware che inietta un ransomware, che poi blocca il telefono e mostra alle vittime una pagina Telegram da utilizzare per il versamento di denaro e rientrare quindi in possesso dei propri soldi. 

Questo malware entra nei telefoni attraverso diversi mezzi, ma in genere attraverso campagne di phishing che spingono a scaricare app che nominano marchi noti come Instagram, WhatsApp, piattaforme di eCommerce o app antivirus.

Una volta installato il file APK, l'app chiede una serie di autorizzazioni che dovrebbero insospettire, inclusa l'esenzione dall'ottimizzazione della batteria per poter essere eseguito in background.

A questo punto, il ransomware prende controllo del telefono, cambia il codice per sbloccare la schermata di blocco e la blocca. In un caso di un attacco dall'Iran, il malware ha cancellato la cronologia delle chiamate, cambiato lo sfondo per mostrare un messaggio, bloccato lo schermo, attivata la vibrazione e inviato un SMS con una nota che invitava la vittima ad andare su Telegram per "risolvere il problema". 

I comandi supportati sono diversi, ma ecco quelli più usati:

• ransomware, per avviare il processo di crittografia dei file sul dispositivo.
• wipe, per eliminare tutti i file nel percorso specificato.
• LockTheScreen, che blocca lo schermo del dispositivo, rendendo il dispositivo inutilizzabile.
• sms_oku, che mostra tutti gli SMS (e i codici 2FA) al server di comando e controllo (C2).
• location_tracker, che consente di inviare la posizione del dispositivo live al server C2.

Le azioni sono controllate da un pannello centrale in cui gli autori delle minacce possono accedere al dispositivo e alle informazioni sullo stato e decidere i passi di attacco.

Stando all'articolo, il comando ransomware è stato eseguito il 10% delle volte.

Per difendersi da questi attacchi, bisogna innanzitutto evitare di scaricare app da fonti dubbie, non cliccare sugli URL incorporati nelle email o negli SMS e scansionare le app con Play Protect prima di lanciarle.

E se possibile, aggiornare il telefono all'ultima versione del sistema operativo o delle patch di sicurezza disponibili.