Novo malware foca-se em versões antigas do Android
De tempos a tempos surgem novos esquemas e malware focado para o sistema Android, e recentemente, um grupo de investigadores revelou ter descoberto uma nova variante de malware que se foca em dispositivos com versões mais antigas do Android.
Apelidado de “Rafel RAT”, o malware foi descoberto pelos investigadores Antonis Terefos e Bohdan Melnykov da Check Point, sendo que os mesmos identificaram a sua propagação em mais de 120 campanhas diferentes atualmente ativas.
A origem do malware não é concreta, mas existem suspeitas que tenha sido criado por entidades no Irão ou Paquistão, e que se focam em levar ao roubo de dados potencialmente sensíveis de empresas a nível global.
Algumas das vítimas encontram-se empresas militares nos EUA, China e Indonésia. Na maioria dos casos, o malware foi descoberto em sistemas operativos Android desatualizados e em fim de vida, e que, portanto, deixaram de receber atualizações de segurança. Este parece ser também o foco deste malware em geral.
Cerca de 87.5% dos dispositivos infetados por este malware encontram-se no Android 10 ou inferior, com 12.5% em dispositivos com o Android 12 e 13. Existem vários dispositivos afetados, de diferentes fabricantes, o que também comprova que o malware pode adaptar-se a diferentes equipamentos e versões modificadas do Android.
O malware propaga-se sobretudo sobre falsas aplicações do Instagram, WhatsApp e outras plataformas sociais, muitas vezes apps alternativas que prometem funcionalidades extra.
Durante a instalação, o malware pede acesso a várias permissões consideradas como arriscadas, como as de remover a app do malware das otimizações de bateria, para permitir ao mesmo ser executado em segundo plano.
Quando instalado, o malware possui a capacidade de realizar várias ações no dispositivo, incluindo de controlar inteiramente o mesmo e até encriptar os ficheiros existentes, como uma espécie de ransomware. Os atacantes podem ainda obter acesso a todas as mensagens SMS, contactos, listas de chamadas e localização em tempo real.
Caso o módulo de ransomware deste malware seja ativado, o mesmo encripta os conteúdos do dispositivo com uma chave dedicada, e pode ainda alterar a senha de bloqueio do sistema, apresentando uma mensagem a informar dos detalhes para obter o código.
Tendo em conta a forma de distribuição deste malware, por meio de ficheiros de apps instaladas de fontes desconhecidas, recomenda-se cuidado com o local de onde são instaladas apps fora da Play Store.