Rafel RAT
Αρκετοί παράγοντες απειλών, συμπεριλαμβανομένων των ομάδων κατασκοπείας στον κυβερνοχώρο, χρησιμοποιούν ένα Εργαλείο απομακρυσμένης διαχείρισης Android ανοιχτού κώδικα, γνωστό ως Rafel RAT. Το μεταμφιέζουν σε δημοφιλείς εφαρμογές όπως το Instagram, το WhatsApp και διάφορες εφαρμογές ηλεκτρονικού εμπορίου και κατά του κακόβουλου λογισμικού για να επιτύχουν τους επιβλαβείς στόχους τους.
Το Rafel RAT παρέχει σε αυτούς τους ηθοποιούς μια ισχυρή εργαλειοθήκη για απομακρυσμένη διαχείριση και έλεγχο, διευκολύνοντας διάφορες κακόβουλες δραστηριότητες όπως κλοπή δεδομένων και χειρισμό συσκευών. Τα εκτεταμένα χαρακτηριστικά του περιλαμβάνουν σκούπισμα καρτών SD, διαγραφή αρχείων καταγραφής κλήσεων, υποκλοπή ειδοποιήσεων και ακόμη και λειτουργία ως ransomware.
Πίνακας περιεχομένων
Το Rafael RAT εντοπίστηκε σε πολυάριθμες εκστρατείες επιθέσεων
Οι ειδικοί στον τομέα της κυβερνοασφάλειας είχαν προηγουμένως επισημάνει τη χρήση του Rafel RAT από το APT-C-35 (γνωστό και ως DoNot Team, Brainworm και Origami Elephant) σε επιθέσεις που εκμεταλλεύονταν ένα ελάττωμα σχεδιασμού στο Foxit PDF Reader για να εξαπατήσουν τους χρήστες να κατεβάσουν απειλητικά ωφέλιμα φορτία. Αυτή η εκστρατεία, η οποία έλαβε χώρα τον Απρίλιο του 2024, χρησιμοποίησε δολώματα PDF με στρατιωτικό θέμα για την παράδοση του κακόβουλου λογισμικού.
Οι ειδικοί έχουν εντοπίσει περίπου 120 διαφορετικές επιβλαβείς εκστρατείες, συμπεριλαμβανομένων ορισμένων που στοχεύουν οντότητες υψηλού προφίλ, σε διάφορες χώρες όπως η Αυστραλία, η Κίνα, η Τσεχία, η Γαλλία, η Γερμανία, η Ινδία, η Ινδονησία, η Ιταλία, η Νέα Ζηλανδία, το Πακιστάν, η Ρουμανία, η Ρωσία και οι ΗΠΑ
Η πλειονότητα των θυμάτων κατείχε τηλέφωνα Samsung, ακολουθούμενη από χρήστες συσκευών Xiaomi, Vivo και Huawei. Συγκεκριμένα, περίπου το 87,5% των μολυσμένων συσκευών εκτελούσαν ξεπερασμένες εκδόσεις Android που δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας.
Το Rafel RAT μπορεί να θέσει σε κίνδυνο ένα ευρύ φάσμα ευαίσθητων δεδομένων
Οι τυπικές αλυσίδες επιθέσεων περιλαμβάνουν τακτικές κοινωνικής μηχανικής για να ξεγελάσουν τα θύματα ώστε να παραχωρήσουν παρεμβατικές άδειες σε εφαρμογές που έχουν μολυνθεί από κακόβουλο λογισμικό. Αυτές οι άδειες επιτρέπουν στο κακόβουλο λογισμικό να συλλέγει ευαίσθητα δεδομένα, όπως στοιχεία επικοινωνίας, μηνύματα SMS (όπως κωδικοί 2FA), τοποθεσία, αρχεία καταγραφής κλήσεων και λίστες εγκατεστημένων εφαρμογών μεταξύ άλλων δεδομένων.
Το Rafel RAT χρησιμοποιεί κυρίως HTTP(S) για επικοινωνίες Command-and-Control (C2), αλλά μπορεί επίσης να χρησιμοποιήσει Discord API για την επικοινωνία με τους παράγοντες απειλών. Επιπλέον, διαθέτει ένα πλαίσιο C2 που βασίζεται σε PHP, το οποίο μπορούν να χρησιμοποιήσουν οι εγγεγραμμένοι χρήστες για να εκδώσουν εντολές σε παραβιασμένες συσκευές.
Οι χρήστες Android παραμένουν συχνός στόχος κυβερνοεγκληματιών
Η αποτελεσματικότητα του εργαλείου σε διάφορους παράγοντες απειλής επικυρώνεται από τη συμμετοχή του σε μια επιχείρηση ransomware που διεξάγεται από έναν εισβολέα που πιστεύεται ότι είναι από το Ιράν. Ο δράστης έστειλε ένα σημείωμα λύτρων στα αραβικά μέσω SMS, καλώντας ένα θύμα στο Πακιστάν να επικοινωνήσει μαζί του μέσω Telegram.
Το Rafel RAT αποτελεί παράδειγμα της εξελισσόμενης σφαίρας του κακόβουλου λογισμικού Android, που διακρίνεται για τον σχεδιασμό ανοιχτού κώδικα, την εκτεταμένη γκάμα λειτουργιών και την εκτεταμένη ανάπτυξη σε διάφορες παράνομες δραστηριότητες. Η ευρεία χρήση του υπογραμμίζει τη σημασία της συνεχούς επαγρύπνησης και των προληπτικών μέτρων ασφαλείας για την προστασία των συσκευών Android από βλαβερή εκμετάλλευση.
