El malware conocido como Ratel RAT se ha convertido en una amenaza emergente para los dispositivos Android más antiguos, utilizándolos para ejecutar operaciones de ransomware que cifran datos y exigen rescates.
Este software malicioso de código abierto es específicamente una variante de ransomware que actúa cifrando o eliminando información, inutilizando el dispositivo y solicitando pagos a través de Telegram.
Investigadores de la firma de seguridad Check Point han identificado más de 120 campañas activas que emplean este ransomware. Los grupos detrás de estos ataques incluyen APT-C-35 (también conocido como DoNot Team), con operativos basados en Irán y Pakistán.
Mientras que los objetivos de estos ataques son principalmente organizaciones de importancia estratégica, tales como entidades gubernamentales y militares. Sus víctimas se encuentran sobre todo en Estados Unidos, China e Indonesia.
La vulnerabilidad principal que estos atacantes explotan reside en el uso de versiones de Android que ya no reciben soporte ni actualizaciones de seguridad. Esto generalmente incluye a Android 11 y versiones anteriores, que constituyen más del 87.5% de los dispositivos afectados.
Solo una minoría, el 12.5%, de los dispositivos comprometidos opera bajo Android 12 o 13. La lista de dispositivos susceptibles abarca una variedad de marcas reconocidas, incluyendo Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, así como modelos de OnePlus, Vivo y Huawei. Estos datos resaltan la eficacia de Ratel RAT como herramienta de ataque adaptada a diversas configuraciones de Android.
Así funciona Ratel RAT
La propagación de Ratel RAT se realiza a través de múltiples canales. Los ciberdelincuentes frecuentemente recurren a plataformas como Instagram, WhatsApp, páginas webs de comercio electrónico y aplicaciones antivirus para engañar a los usuarios y hacer que descarguen archivos APK maliciosos.
Durante la instalación, este ransomware requiere permisos extensos que le permiten operar de manera oculta.
Existen múltiples variantes de Ratel RAT, cada una con un conjunto específico de funciones habilitadas. Entre estas funciones se encuentran:
Ransomware: Encargado de iniciar el proceso de cifrado de los datos almacenados en el dispositivo.
Wipe: Elimina todos los datos de una ubicación específica.
LockTheScreen: Bloquea la pantalla del dispositivo, dejándolo inservible.
sms_oku: Extrae todos los SMS, incluyendo códigos de autenticación de dos factores, y los envía al servidor de comando y control (C2).
location_tracker: Transmite la ubicación actual del dispositivo al servidor C2.
Las actividades maliciosas se gestionan desde un panel de control central, que permite a los atacantes monitorear el estado del dispositivo infectado y decidir los pasos a seguir.
Check Point revela que en aproximadamente el 10% de los casos se activa la función de ransomware. En esos casos, los archivos del dispositivo se cifran usando una clave AES predeterminada, y luego los atacantes exigen un rescate.
Al obtener privilegios de administrador del dispositivo, el ransomware gana control sobre funciones críticas, como cambiar la contraseña de la pantalla de bloqueo y añadir un mensaje de rescate.
Si el usuario intenta eliminar estos privilegios, el ransomware responde inmediatamente modificando la contraseña y bloqueando la pantalla. Los ataques detallados incluyen operaciones donde el malware borra el historial de llamadas, modifica el fondo de pantalla para mostrar un mensaje específico, activa la función de vibración del teléfono y envía un mensaje SMS exhortando a la víctima a contactar a los atacantes a través de Telegram para «resolver el problema».
Para evitar ser víctima del ransomware Ratel RAT, es crucial abstenerse de descargar archivos APK de fuentes no verificadas, no hacer clic en enlaces incrustados en correos electrónicos o mensajes de texto, y verificar las aplicaciones con herramientas de seguridad como Play Protect antes de instalarlas.
Cabe destacar un dato: el 58% de las compañías que recibe un ataque de ransomware, es decir, de secuestro de datos, paga un rescate por los mismos, según el informe de Ciberpreparación elaborado por la compañía de seguros especializados Hiscox. Estos suponen un coste medio anual de 29.535 euros para las empresas españolas y de 46.136 euros para las del resto de los países, mientras que los ataques generales representan una media de 10.080 euros en España y 11.150 euros en el resto del mundo