Вымогатель Ratel RAT атакует старые Android-смартфоны, шифруя данные и требуя выкуп

Киберпреступники начали осуществлять атаки на старые Android-устройства, используя вредоносное ПО с открытым исходным кодом под названием Ratel RAT. Фактически это разновидность программы-вымогателя для Android, которая шифрует или удаляет данные, блокирует устройство и требует оплату в Telegram.

Исследователи из Check Point сообщают об обнаружении более 120 кампаний с использованием Ratel RAT. В том числе источниками атак выступают APT-C-35 (DoNot Team), Иран и Пакистан. Злоумышленники нацеливаются на высокопоставленные организации, в частности в правительстве и военном секторе, причем большинство жертв из США, Китая и Индонезии.

В большинстве случаев заражений, проверенных Check Point, жертвы использовали версию Android, которая достигла конца цикла поддержки и больше не получала обновления безопасности. Это касается Android 11 и более старых версий, на которые приходится более 87,5% от общего количества зараженных устройств. Лишь 12,5% зараженных устройств работают под управлением Android 12 или 13. Жертвами становятся смартфоны различных брендов, включая Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, а также устройства от OnePlus, Vivo и Huawei. Это доказывает, что Ratel RAT является эффективным инструментом атаки на ряд различных реализаций Android.

Ratel RAT распространяется различными способами. Обычно злоумышленники используют Instagram, WhatsApp, платформы электронной коммерции, антивирусные приложения, чтобы обманом заставить людей загрузить вредоносные файлы APK. Во время установки вымогатель запрашивает доступ к рискованным разрешениям, чтобы работать в фоновом режиме.

Ratel RAT имеет несколько вариантов, отличающихся перечнем команд, которые они поддерживают. Обычно они выполняют следующее: