Rafel RAT
Několik aktérů hrozeb, včetně skupin kybernetické špionáže, využívá open-source Android Remote Administration Tool známý jako Rafel RAT. Maskují to za populární aplikace, jako je Instagram, WhatsApp a různé aplikace pro elektronický obchod a antimalware, aby dosáhly svých škodlivých cílů.
Rafel RAT poskytuje těmto aktérům robustní sadu nástrojů pro vzdálenou správu a kontrolu, která usnadňuje různé nekalé činnosti, jako je krádež dat a manipulace se zařízeními. Mezi jeho rozsáhlé funkce patří mazání SD karet, mazání protokolů hovorů, zachycování oznámení a dokonce fungování jako ransomware.
Obsah
Rafael RAT byl odhalen v četných útočných kampaních
Experti na kybernetickou bezpečnost již dříve zdůraznili použití Rafel RAT ze strany APT-C-35 (také známého jako DoNot Team, Brainworm a Origami Elephant) při útocích, které zneužily konstrukční chybu ve Foxit PDF Reader k oklamání uživatelů, aby si stáhli hrozivé užitečné zatížení. Tato kampaň, která proběhla v dubnu 2024, používala k doručení malwaru návnady PDF s vojenskou tématikou.
Odborníci identifikovali přibližně 120 různých škodlivých kampaní, včetně některých zaměřených na vysoce postavené subjekty, v různých zemích, jako je Austrálie, Čína, Česká republika, Francie, Německo, Indie, Indonésie, Itálie, Nový Zéland, Pákistán, Rumunsko, Rusko a USA.
Většina obětí vlastnila telefony Samsung, následují uživatelé zařízení Xiaomi, Vivo a Huawei. Je pozoruhodné, že přibližně 87,5 % infikovaných zařízení používalo zastaralé verze Androidu, které již nedostávají aktualizace zabezpečení.
Rafel RAT může kompromitovat širokou škálu citlivých dat
Typické řetězce útoků zahrnují taktiky sociálního inženýrství, které mají oběti přimět k udělení rušivých oprávnění aplikacím infikovaným malwarem. Tato oprávnění umožňují malwaru shromažďovat citlivá data, včetně kontaktních informací, SMS zpráv (jako jsou kódy 2FA), polohy, protokolů hovorů a seznamů nainstalovaných aplikací.
Rafel RAT primárně používá HTTP(S) pro komunikaci Command-and-Control (C2), ale může také využívat Discord API pro komunikaci s aktéry hrozeb. Kromě toho obsahuje panel C2 založený na PHP, který mohou registrovaní uživatelé používat k vydávání příkazů kompromitovaným zařízením.
Uživatelé Androidu zůstávají častým cílem kyberzločinců
Účinnost nástroje napříč různými aktéry hrozeb je ověřena jeho zapojením do operace ransomwaru, kterou provedl útočník, o kterém se předpokládá, že pochází z Íránu. Útočník poslal prostřednictvím SMS zprávu o výkupném v arabštině a vyzval oběť v Pákistánu, aby ji kontaktovala prostřednictvím telegramu.
Rafel RAT je příkladem vyvíjející se oblasti malwaru pro Android, který se vyznačuje open source designem, komplexní řadou funkcí a rozsáhlým nasazením v různých nezákonných činnostech. Jeho široké použití podtrhuje důležitost trvalé bdělosti a proaktivních bezpečnostních opatření k ochraně zařízení Android před škodlivým zneužíváním.
