Rafel RAT
Adskillige trusselsaktører, herunder cyberspionagegrupper, bruger et open source Android Remote Administration Tool kendt som Rafel RAT. De forklæder det som populære applikationer som Instagram, WhatsApp og forskellige e-handels- og anti-malware applikationer for at nå deres skadelige mål.
Rafel RAT forsyner disse aktører med et robust værktøjssæt til fjernadministration og -kontrol, hvilket letter forskellige uhyggelige aktiviteter såsom datatyveri og enhedsmanipulation. Dens omfattende funktioner omfatter sletning af SD-kort, sletning af opkaldslogger, aflytning af notifikationer og endda at fungere som ransomware.
Indholdsfortegnelse
Rafael RAT blev opdaget i adskillige angrebskampagner
Cybersikkerhedseksperter har tidligere fremhævet brugen af Rafel RAT fra APT-C-35 (også kendt som DoNot Team, Brainworm og Origami Elephant) i angreb, der udnyttede en designfejl i Foxit PDF Reader til at narre brugere til at downloade truende nyttelast. Denne kampagne, som fandt sted i april 2024, brugte PDF-lokker med militærtema til at levere malwaren.
Eksperter har identificeret cirka 120 forskellige skadelige kampagner, herunder nogle rettet mod højprofilerede enheder, på tværs af forskellige lande som Australien, Kina, Tjekkiet, Frankrig, Tyskland, Indien, Indonesien, Italien, New Zealand, Pakistan, Rumænien, Rusland og USA
Størstedelen af ofrene ejede Samsung-telefoner, efterfulgt af brugere af Xiaomi-, Vivo- og Huawei-enheder. Navnlig kørte omkring 87,5 % af de inficerede enheder forældede Android-versioner, som ikke længere modtager sikkerhedsopdateringer.
Rafel RAT kan kompromittere en lang række følsomme data
Typiske angrebskæder involverer social engineering taktik for at narre ofre til at give påtrængende tilladelser til malware-inficerede applikationer. Disse tilladelser giver malwaren mulighed for at indsamle følsomme data, herunder kontaktoplysninger, SMS-beskeder (såsom 2FA-koder), placering, opkaldslogger og lister over installerede applikationer blandt andre data.
Rafel RAT bruger primært HTTP(S) til Command-and-Control (C2) kommunikation, men kan også bruge Discord API'er til at kommunikere med trusselsaktører. Derudover har den et PHP-baseret C2-panel, som registrerede brugere kan bruge til at udstede kommandoer til kompromitterede enheder.
Android-brugere forbliver et hyppigt mål for cyberkriminelle
Værktøjets effektivitet på tværs af forskellige trusselsaktører valideres af dets involvering i en ransomware-operation udført af en angriber, der menes at være fra Iran. Angriberen sendte en løsesum på arabisk via SMS og opfordrede et offer i Pakistan til at kontakte dem via Telegram.
Rafel RAT eksemplificerer den udviklende verden af Android-malware, kendetegnet ved dets open source-design, omfattende udvalg af funktioner og omfattende implementering i forskellige ulovlige aktiviteter. Dens udbredte brug understreger vigtigheden af løbende årvågenhed og proaktive sikkerhedsforanstaltninger for at beskytte Android-enheder mod skadelig udnyttelse.
