Pesquisadores de segurança cibernética da Check Point descobriram uma vulnerabilidade que afeta dispositivos antigos com Android — especificamente aqueles que executam uma versão antiga do sistema operacional do Google. A brecha permitiria a invasão do celular ou tablet com ataque de ransomware, que “sequestra” o aparelho.
Mais de uma centena de campanhas foram identificadas explorando o Rafel RAT, um malware de código aberto que fornece aos agentes maliciosos um kit de ferramentas para administração remota, permitindo uma série de atividades que incluem roubo de dados e manipulação de dispositivos sem que o invasor precise acessá-lo fisicamente.
Segurança
25 Jan
Segurança
05 Out
Antonis Terefos e Bohdan Melnykov, pesquisadores que identificaram a nova onda de ataques baseados no Rafel RAT, afirmam que várias campanhas tiveram sucesso ao invadir sistemas de organizações de alto perfil, incluindo o setor militar de vários países, com predominância nos Estados Unidos, China e Indonésia.
O malware utiliza técnicas de phishing — isto é, táticas enganosas que costumam incluir mensagens de e-mail “disfarçadas” de conteúdo legítimo de empresas e serviços — para persuadir os usuários a baixarem arquivos infectados.
Sob esse disfarce, o malware se passa por vários aplicativos reconhecidos, como Instagram e WhatsApp, além de plataformas de comércio eletrônico, antivírus e programas de suporte. Uma das campanhas, inclusive, pode ser encontrada em português do Brasil utilizando o nome do Mercado Pago, como visto na imagem acima.
Dependendo das modificações do invasor, o malware pode solicitar permissões para notificações ou até mesmo direitos de administrador no dispositivo. Ele também pode buscar permissões que poderiam não alertar o usuário, como leitura de SMS.
As operações funcionavam em segundo plano imediatamente após a ativação do programa malicioso. Ele se comunica através de protocolos HTTP, em uma interação de cliente-servidor, para vazar informações sobre o dispositivo, incluindo suas características, especificações e localização. Então, é possível inserir comandos para bloquear o sistema.
O ransomware criptografa os arquivos do telefone infectado utilizando uma chave predefinida, dando aos invasores controle total sobre o dispositivo.
É comum que, nesses tipos de ataque, os criminosos solicitem o pagamento de um “resgate”, geralmente em criptomoedas, para que o dispositivo seja desbloqueado e os dados sejam recuperados. No entanto, especialistas do setor recomendam que as vítimas nunca façam qualquer pagamento e busquem as autoridades para solucionar o caso.
Campanha mira versões antigas do Android
A maioria das vítimas do ataque de ransomware com Rafel RAT utilizava um dispositivo fabricado pela Samsung. Usuários de celulares da Xiaomi, vivo, Huawei e LG compõem o segundo maior grupo entre as vítimas.
É importante observar que os resultados estão diretamente relacionados à popularidade das marcas, e não ao seu nível de segurança. Veja na imagem a seguir a predominância de marcas de dispositivos em que o pacote de malware foi explorado.
O gráfico abaixo mostra que os ataques tiveram maior ocorrência em dispositivos que executam versões mais antigas do sistema operacional do Google. O Android 11 é o mais visado, seguido pelo Android 8.0 e Android 5.0. No geral, 87,5% das vítimas visadas estavam executando uma versão do sistema que deixou de receber atualizações de segurança.
Lançado em 2020, o Android 11 é uma versão relativamente recente do sistema operacional, mas já não conta com suporte oficial do Google — uma combinação de fatores perigosa. Desde fevereiro de 2024, essa versão parou de receber patches de segurança, o que significa que não terá correções para futuras vulnerabilidades descobertas.
A recomendação é que os usuários prefiram sempre instalar aplicativos através de plataformas oficiais — como a Google Play Store e Samsung Galaxy Store — e permaneçam sempre atentos às permissões requeridas por aplicativos. Além disso, evitar o uso de dispositivos antigos para tarefas que envolvam dados sensíveis.
Veja mais!
