¿Qué es el malware RAT y por qué es tan peligroso?
Aunque este nombre se utilice también para referirse a un tipo de malware, originalmente el RAT (Remote Administration Tool) se creó con un buen propósito: ayudar en remoto a gestionar configuraciones y solucionar problemas informáticos de forma instantánea y eficaz.
Por ejemplo, cuando autorizas a un técnico informático a tomar el control de tu equipo y este empieza a mover el cursor de tu pantalla, es gracias a un RAT legítimo, instalado previamente por el propio usuario para autorizar la conexión remota de alguien en quien confía.
Pero como cualquier otra aplicación digital, también puede ser utilizada para hacer el mal. Al lado oscuro del RAT se le conoce con el nombre de Remote Access Trojan: un troyano informático que se cuela por la puerta de atrás de tu equipo. En manos de los ciberdelincuentes, puede convertirse en un arma muy dañina.
¿Cómo actúa?
Generalmente la infección del malware RAT se realiza a través de algún método de ingeniería social. Los atacantes utilizan técnicas de engaño con el objetivo de que el usuario clique donde no debe y descargue el archivo malicioso en su dispositivo.
Generalmente los hackers pueden adjuntar un RAT en un correo electrónico en forma de archivo anexo o enlace o en una aplicación móvil, pero pueden utilizar muchos otros trucos para distribuir su malware. Entre otros, pueden esconderlo detrás de los anuncios emergentes que aparecen al navegar por distintas páginas web o incluso en servicios de entretenimiento online.
Por ejemplo, durante el confinamiento producido por la pandemia mundial del COVID-19, el consumo de cine tanto en streaming como por descarga directa o de Torrents se ha disparado. Los criminales no desaprovechan este canal y están consiguiendo infectar a usuarios escondiendo su malware RAT en servicios de descarga o streaming de películas pirata.
Además, continuamente adaptan la temática de sus estafas a la actualidad para resultar más atractivos. Argumentos como la declaración de la renta, cuestiones relacionadas con el Coronavirus o el trabajo remoto, la liga de fútbol, las rebajas, el Black Friday, etc. Por lo tanto se debe poner especial atención ante comunicaciones de este tipo.
Sea como sea el método o el tema utilizado por el pirata informático, cuando la víctima cae en la trampa e instala el RAT en su equipo, sin saberlo le está concediendo acceso remoto a su dispositivo.
¿Qué puede hacer el RAT si consigue infectarme?
Si consigue infectar a su víctima y asumir el control remoto del equipo, las posibilidades para el ciberdelincuente son infinitas. Una vez dentro, el hacker puede tratar de acceder a la aplicación de banca online de la víctima para realizar transferencias, descubrir claves de acceso, suscribirse a servicios no deseados, fisgonear en el buzón de correo electrónico, entrar en perfiles de redes sociales e incluso realizar copias de toda la galería de fotos, entre otras acciones que pueden ser devastadoras, tanto a nivel personal como corporativo.
¿Cómo puedo evitar ser víctima de un RAT?
Para reducir los riesgos de infección, es imprescindible seguir unas buenas prácticas digitales a la hora de navegar por internet y tener mucho cuidado con descargar aplicaciones de origen desconocido.
Tampoco se debe clicar en enlaces o anexos de correos electrónicos sospechosos, aún si el remitente es aparentemente conocido. Actualmente circulan campañas de phishing muy sofisticadas capaces de suplantar la identidad de bancos o de cualquier otro servicio legítimo de forma muy realista y convincente. Por ello, al recibir un correo, se deben analizar con detenimiento las señales que ayudarán a determinar su veracidad.
Además de aplicar siempre el sentido común, otra de las medidas a seguir para reducir el riesgo de infección es mantener siempre el sistema operativo del dispositivo actualizado con la última versión disponible, al igual que las distintas aplicaciones que se utilicen y el antivirus. Éste debe estar configurado adecuadamente para que se actualice automáticamente y trabaje analizando constantemente los archivos en busca de posibles amenazas.
Creo que estoy infectado, ¿y ahora qué?
Aplicando todas estas medidas reduciremos drásticamente las posibilidades de ser infectados. Aunque por encima de todo, la mejor medida para combatir al RAT y a cualquier otro malware, es el sentido común, mantener siempre la alerta activa y revisar dos veces antes de clicar.
En el caso de saber o sospechar de una infección, lo más recomendable es formatear y reinstalar totalmente el dispositivo, dado que los antivirus tampoco son garantía de detectar cualquier malware.
Además, es probable que el RAT también haya tenido acceso a las contraseñas de cualquier otro servicio al que el usuario haya accedido con su dispositivo: redes sociales, tiendas online, servicios de streaming, etc. Por este motivo, una vez formateado el dispositivo, es también igualmente importante modificar las contraseñas de todos los servicios que se utilicen habitualmente, especialmente la del correo electrónico.
Veamos un ejemplo práctico: ataque real de RAT a clientes de entidades
bancarias.
El RAT ataca a los clientes de diversas entidades financieras para obtener el control remoto de sus dispositivos.
En la mayoría de casos analizados, el malware se extiende a través de un correo electrónico malicioso utilizando por ejemplo el argumento de una supuesta factura.
Cuando el usuario abre el enlace o el documento adjunto del correo, puede instalar el RAT en el equipo, cediendo sin darse cuenta el control remoto al ciberdelincuente.
Sea cual sea el método que haya empleado el criminal para instalar el RAT en el dispositivo del cliente, en el caso de clientes de CaixaBank podría actuar de la siguiente forma:
Cuando el usuario abre la app CaixaBank NOW, el RAT le mostraría una pantalla de “instalación del módulo de seguridad”.
Es sólo una distracción. Mientras el cliente ve esta pantalla, el hacker está detrás operando con la app para realizar una transferencia.
Al hacerlo, el cliente recibe una alerta en su móvil para autorizar la transferencia fraudulenta. Si el cliente no se fija correctamente en los datos relacionados con la autorización, aceptará la operación desconocida en favor del hacker.
Por eso antes de introducir un código recibido por SMS o firmar una operación a través de la app CaixaBank Sign o de cualquier otra aplicación móvil bancaria, antes de autorizar nada, es importantísimo examinar detenidamente los datos de la operación (importe, cuenta destino), incluidos en los SMS y en las solicitudes de firma de las app móviles.
En resumen...
Las principales recomendaciones son: