Рафел RAT
Няколко заплахи, включително групи за кибершпионаж, използват инструмент за отдалечено администриране на Android с отворен код, известен като Rafel RAT. Те го маскират като популярни приложения като Instagram, WhatsApp и различни приложения за електронна търговия и анти-злонамерен софтуер, за да постигнат своите вредни цели.
Rafel RAT предоставя на тези участници стабилен набор от инструменти за отдалечено администриране и контрол, улеснявайки различни престъпни дейности като кражба на данни и манипулиране на устройства. Неговите обширни функции включват изтриване на SD карти, изтриване на дневници на обаждания, прихващане на известия и дори функциониране като ransomware.
Съдържание
Rafael RAT беше открит в многобройни кампании за нападение
Експертите по киберсигурност по-рано подчертаха използването на Rafel RAT от APT-C-35 (известен също като DoNot Team, Brainworm и Origami Elephant) при атаки, които експлоатираха дефект в дизайна на Foxit PDF Reader, за да подмамят потребителите да изтеглят заплашителни полезни данни. Тази кампания, която се проведе през април 2024 г., използва PDF примамки на военна тематика за доставяне на злонамерения софтуер.
Експертите са идентифицирали приблизително 120 различни вредни кампании, включително някои, насочени към високопоставени лица, в различни страни като Австралия, Китай, Чехия, Франция, Германия, Индия, Индонезия, Италия, Нова Зеландия, Пакистан, Румъния, Русия и САЩ
По-голямата част от жертвите са притежавали телефони Samsung, следвани от потребители на устройства Xiaomi, Vivo и Huawei. Трябва да се отбележи, че около 87,5% от заразените устройства работят с остарели версии на Android, които вече не получават актуализации за сигурност.
Rafel RAT може да компрометира широк набор от чувствителни данни
Типичните вериги за атаки включват тактики за социално инженерство, за да подмамят жертвите да предоставят натрапчиви разрешения на приложения, заразени със зловреден софтуер. Тези разрешения позволяват на злонамерения софтуер да събира чувствителни данни, включително информация за контакт, SMS съобщения (като 2FA кодове), местоположение, регистър на обажданията и списъци с инсталирани приложения сред други данни.
Rafel RAT използва предимно HTTP(S) за командно-контролни (C2) комуникации, но също така може да използва Discord API за комуникация със заплахи. В допълнение, той разполага с базиран на PHP C2 панел, който регистрираните потребители могат да използват, за да издават команди на компрометирани устройства.
Потребителите на Android остават честа цел на киберпрестъпниците
Ефикасността на инструмента при различни заплахи се потвърждава от участието му в операция за рансъмуер, проведена от нападател, за който се смята, че е от Иран. Нападателят изпрати бележка за откуп на арабски чрез SMS, призовавайки жертва в Пакистан да се свърже с тях чрез Telegram.
Rafel RAT е пример за развиващото се царство на зловреден софтуер за Android, отличаващ се със своя дизайн с отворен код, широка гама от функции и обширно внедряване в различни незаконни дейности. Широкото му използване подчертава значението на постоянната бдителност и проактивните мерки за сигурност за защита на устройствата с Android от вредна експлоатация.
