Il malware Ratel RAT dimostra l'importanza degli aggiornamenti su Android (e della prudenza)

Non è un buon momento per averne uno telefonoAndroid non recente o comunque non più aggiornato: un malware fonte aperta chiamato Ratel RATTO è infatti utilizzato in più di 120 attacchi per bloccare gli smartphone dei malcapitati e chiedere il pagamento (sapete che La differenza c'è tra antivirus e antimalware).

Come abbiamo anticipato, l'obbiettivo di Ratel RATTO è iniettare un ransomware in modo da bloccare il telefono e chiedere agli utenti un pagamento su Telegram per poter recuperare i dati.

Gli autori dello studio, pubblicato su Punto di controllopubblicato che le vittime sono in particolare modo provenienti dagli Stati Uniti, dalla Cina e dall'Indonesia (ma anche da Italia e Francia), e appartengono a organizzazioni di alto profilo, anche nel settore governativo e militare (al che ci si potrebbe chiedere perché non avere telefoni aggiornati e perché possano installare sui loro telefoni app come quelle che vedremo nel capitolo successivo).

Stando ai dati raccolti, infatti, le vittime dotate di un telefono che non riceveva più aggiornamenti di sicurezza. Nella maggior parte dei casi, l'87,5% del totale, si trattava di Android 11 o precedenti, mentre il 12,5% dei dispositivi infetti era aggiornato ad Android 12 o Android 13.

Per quanto riguarda i marchi ei modelli di telefoni presi di mira, variano da Samsung Galaxy, Google Pixel, Xiaomi Redmi, e Motorola Uno ai telefoni OnePlus, Vivo e Huawei.

Vista la varietà degli attacchi, non c'è un unico autore: i ricercatori riscontrati hanno prove che si tratti del gruppo APT-C-35 (DoNot Team) oltre a gruppi da Iran e Pakistan, ma non solo i soli.

Ratel RATTO è quindi un malware che inietta un ransomware, che poi blocca il telefono e mostra alle vittime una pagina Telegramma da utilizzare per il versamento di denaro e rientrare quindi in possesso dei propri soldi.

Questo malware entra nei telefoni attraverso diversi mezzi, ma in genere attraverso campagne di phishing che spingono a scaricare app che nominano marchi noti come Instagram, WhatsApp, piattaforme di eCommerce o app antivirus.

Una volta installato il file APK, l'app chiede una serie di autorizzazioni che dovrebbero essere esaminate, inclusa l'esenzione dall'ottimizzazione della batteria per poter essere eseguito in background.

A questo punto, il ransomware prende il controllo del telefono, cambia il codice per sbloccare la schermata di blocco e il blocco. In un caso di un attacco dall'Iran, il malware ha cancellato la cronologia delle chiamate, cambiato lo sfondo per mostrare un messaggio, bloccato lo schermo, attivato la vibrazione e inviato un SMS con una nota che invitava la vittima ad andare su Telegram per “risolvere il problema“.

I comandi supportati sono diversi, ma ecco quelli più usati:

• ransomwareper avviare il processo di crittografia dei file sul dispositivo.
• pulireper eliminare tutti i file nel percorso specificato.
• Blocca lo schermoche blocca lo schermo del dispositivo, rendendo il dispositivo inutilizzabile.
• sms_okuche mostra tutti gli SMS (ei codici 2FA) al server di comando e controllo (C2).
• location_trackerche consente di inviare la posizione del dispositivo live al server C2.

Le azioni sono controllate da un pannello centrale in cui gli autori delle minacce possono accedere al dispositivo e tutte le informazioni sullo stato e decidere i passi di attacco.

Stando all'articolo, il comando ransomware è stato eseguito il 10% delle volte.

Per difendersi da questi attacchi, bisogna innanzitutto evitare di scaricare app da fonti dubbie, non cliccare sugli URL incorporati nelle email o negli SMS e scansionare le app con Gioca a Proteggi prima di lanciarle.

E se possibile, aggiornare il telefono all'ultima versione del sistema operativo o delle patch di sicurezza disponibili.