Rafel ROT
Mitmed ohus osalejad, sealhulgas küberspionaažirühmad, kasutavad avatud lähtekoodiga Androidi kaughaldustööriista, mida tuntakse Rafel RAT nime all. Nad maskeerivad selle oma kahjulike eesmärkide saavutamiseks populaarseteks rakendusteks, nagu Instagram, WhatsApp ja mitmesugused e-kaubanduse ja pahavaratõrjerakendused.
Rafel RAT pakub neile osalejatele tugeva tööriistakomplekti kaughalduse ja -juhtimise jaoks, hõlbustades mitmesuguseid ebaausaid tegevusi, nagu andmete vargused ja seadmetega manipuleerimine. Selle ulatuslike funktsioonide hulka kuuluvad SD-kaartide pühkimine, kõnelogide kustutamine, teatiste pealtkuulamine ja isegi lunavarana toimimine.
Sisukord
Rafael RAT tuvastati paljudes rünnakukampaaniates
Küberturvalisuse eksperdid on varem rõhutanud Rafel RATi kasutamist APT-C-35 (tuntud ka kui DoNot Team, Brainworm ja Origami Elephant) rünnakutes, mis kasutasid ära Foxit PDF Readeri disainiviga, et petta kasutajaid ähvardava kasuliku koorma alla laadima. See kampaania, mis toimus 2024. aasta aprillis, kasutas pahavara edastamiseks sõjaväeteemalisi PDF-peibutisi.
Eksperdid on tuvastanud ligikaudu 120 erinevat kahjulikku kampaaniat, sealhulgas mõningaid kõrgetasemelisi üksusi sihitud kampaaniates erinevates riikides, nagu Austraalia, Hiina, Tšehhi, Prantsusmaa, Saksamaa, India, Indoneesia, Itaalia, Uus-Meremaa, Pakistan, Rumeenia, Venemaa ja USA.
Enamik ohvritest omasid Samsungi telefone, neile järgnesid Xiaomi, Vivo ja Huawei seadmete kasutajad. Märkimisväärne on see, et umbes 87,5% nakatunud seadmetest kasutasid aegunud Androidi versioone, mis ei saa enam turvavärskendusi.
Rafel RAT võib ohustada laia valikut tundlikke andmeid
Tüüpilised ründeahelad hõlmavad sotsiaalse manipuleerimise taktikat, et meelitada ohvreid andma pahavaraga nakatunud rakendustele pealetükkivaid lube. Need load võimaldavad pahavaral koguda tundlikke andmeid, sealhulgas kontaktteavet, SMS-sõnumeid (nt 2FA-koodid), asukohta, kõneloge ja installitud rakenduste loendeid.
Rafel RAT kasutab peamiselt HTTP(S) Command-and-Control (C2) suhtluseks, kuid võib kasutada ka Discord API-sid, et suhelda ohustajatega. Lisaks on sellel PHP-põhine C2 paneel, mida registreeritud kasutajad saavad kasutada käskude andmiseks ohustatud seadmetele.
Androidi kasutajad on endiselt küberkurjategijate sagedane sihtmärk
Tööriista tõhusust erinevate ohustajate puhul kinnitab selle osalemine lunavaraoperatsioonis, mille viis läbi ründaja, kes arvatakse olevat pärit Iraanist. Ründaja saatis SMS-iga araabiakeelse lunaraha, kutsudes Pakistani ohvrit temaga Telegrami kaudu ühendust võtma.
Rafel RAT on näide Androidi pahavara arenevast valdkonnast, mida eristab avatud lähtekoodiga disain, lai valik funktsioone ja laialdane kasutuselevõtt mitmesugustes ebaseaduslikes tegevustes. Selle laialdane kasutamine rõhutab pideva valvsuse ja ennetavate turvameetmete tähtsust, et kaitsta Android-seadmeid kahjustava ärakasutamise eest.
