رافيل رات
تستخدم العديد من الجهات الفاعلة في مجال التهديد، بما في ذلك مجموعات التجسس الإلكتروني، أداة إدارة عن بعد مفتوحة المصدر لنظام Android تُعرف باسم Rafel RAT. إنهم يخفونها على أنها تطبيقات شائعة مثل Instagram وWhatsApp ومختلف تطبيقات التجارة الإلكترونية ومكافحة البرامج الضارة لتحقيق أهدافهم الضارة.
يوفر برنامج Rafel RAT لهؤلاء الممثلين مجموعة أدوات قوية للإدارة والتحكم عن بعد، مما يسهل العديد من الأنشطة الشائنة مثل سرقة البيانات والتلاعب بالأجهزة. تشمل ميزاته الشاملة مسح بطاقات SD وحذف سجلات المكالمات واعتراض الإشعارات وحتى العمل كبرامج فدية.
جدول المحتويات
تم اكتشاف رافائيل رات في العديد من حملات الهجوم
سبق أن سلط خبراء الأمن السيبراني الضوء على استخدام Rafel RAT بواسطة APT-C-35 (المعروف أيضًا باسم DoNot Team وBrainworm وOrigami Elephant) في الهجمات التي استغلت عيبًا في التصميم في Foxit PDF Reader لخداع المستخدمين لتنزيل حمولات تهديدية. استخدمت هذه الحملة، التي حدثت في أبريل 2024، خدع PDF ذات طابع عسكري لتوصيل البرامج الضارة.
حدد الخبراء ما يقرب من 120 حملة ضارة مختلفة، بما في ذلك بعض الحملات التي تستهدف كيانات رفيعة المستوى، عبر بلدان مختلفة مثل أستراليا والصين وتشيكيا وفرنسا وألمانيا والهند وإندونيسيا وإيطاليا ونيوزيلندا وباكستان ورومانيا وروسيا والولايات المتحدة.
وكان غالبية الضحايا يمتلكون هواتف سامسونج، يليهم مستخدمو أجهزة Xiaomi، وVivo، وHuawei. ومن الجدير بالذكر أن حوالي 87.5% من الأجهزة المصابة كانت تعمل بإصدارات أندرويد قديمة ولم تعد تتلقى تحديثات أمنية.
يمكن لـ Rafel RAT اختراق مجموعة واسعة من البيانات الحساسة
تتضمن سلاسل الهجوم النموذجية أساليب الهندسة الاجتماعية لخداع الضحايا لمنح أذونات متطفلة للتطبيقات المصابة بالبرامج الضارة. تسمح هذه الأذونات للبرامج الضارة بجمع البيانات الحساسة، بما في ذلك معلومات الاتصال والرسائل النصية القصيرة (مثل رموز المصادقة الثنائية) والموقع وسجلات المكالمات وقوائم التطبيقات المثبتة من بين بيانات أخرى.
يستخدم Rafel RAT في المقام الأول HTTP(S) لاتصالات القيادة والتحكم (C2) ولكن يمكنه أيضًا استخدام Discord APIs للتواصل مع الجهات الفاعلة التهديدية. بالإضافة إلى ذلك، فهو يتميز بلوحة C2 المستندة إلى PHP والتي يمكن للمستخدمين المسجلين استخدامها لإصدار أوامر للأجهزة المخترقة.
يظل مستخدمو Android هدفًا متكررًا لمجرمي الإنترنت
يتم التحقق من فعالية الأداة عبر مختلف الجهات الفاعلة في مجال التهديد من خلال مشاركتها في عملية طلب الفدية التي أجراها مهاجم يُعتقد أنه من إيران. أرسل المهاجم مذكرة فدية باللغة العربية عبر الرسائل النصية القصيرة، يحث فيها الضحية في باكستان على الاتصال بهم عبر Telegram.
يجسد برنامج Rafel RAT المجال المتطور للبرامج الضارة التي تعمل بنظام Android، والتي تتميز بتصميمها مفتوح المصدر ومجموعة شاملة من الميزات والنشر المكثف في العديد من الأنشطة غير المشروعة. ويؤكد استخدامه على نطاق واسع على أهمية اليقظة المستمرة والتدابير الأمنية الاستباقية لحماية أجهزة Android من الاستغلال الضار.
