Rafel RAT

چندین عامل تهدید، از جمله گروه‌های جاسوسی سایبری، از یک ابزار مدیریت از راه دور اندروید منبع باز به نام Rafel RAT استفاده می‌کنند. آنها برای دستیابی به اهداف مضر خود، آن را به عنوان برنامه های کاربردی محبوب مانند اینستاگرام، واتس اپ و برنامه های مختلف تجارت الکترونیک و ضد بدافزار پنهان می کنند.

Rafel RAT یک ابزار قوی برای مدیریت و کنترل از راه دور به این بازیگران ارائه می‌دهد که فعالیت‌های شرورانه مختلف مانند سرقت داده و دستکاری دستگاه را تسهیل می‌کند. ویژگی‌های گسترده آن شامل پاک کردن کارت‌های SD، حذف گزارش تماس‌ها، رهگیری اعلان‌ها و حتی عملکرد به عنوان باج‌افزار است.

Rafael RAT در کمپین های حملات متعدد شناسایی شد

کارشناسان امنیت سایبری قبلاً استفاده از Rafel RAT توسط APT-C-35 (همچنین با نام‌های DoNot Team، Brainworm و فیل اوریگامی نیز شناخته می‌شود) در حملاتی که از نقص طراحی در Foxit PDF Reader برای فریب کاربران برای بارگیری بارهای تهدیدآمیز استفاده می‌کنند، تاکید کرده‌اند. این کمپین، که در آوریل 2024 رخ داد، از فریب های PDF با مضمون نظامی برای ارائه بدافزار استفاده کرد.

کارشناسان حدود 120 کمپین مختلف مضر را شناسایی کرده اند، از جمله برخی از آنها که نهادهای پرمخاطب را در کشورهای مختلف مانند استرالیا، چین، چک، فرانسه، آلمان، هند، اندونزی، ایتالیا، نیوزیلند، پاکستان، رومانی، روسیه و ایالات متحده هدف قرار می دهند.

اکثر قربانیان گوشی های سامسونگ داشتند و پس از آن کاربران دستگاه های شیائومی، ویوو و هواوی قرار داشتند. قابل ذکر است که حدود 87.5 درصد از دستگاه‌های آلوده از نسخه‌های قدیمی اندروید استفاده می‌کنند که دیگر به‌روزرسانی‌های امنیتی را دریافت نمی‌کنند.

Rafel RAT می تواند طیف وسیعی از داده های حساس را به خطر بیندازد

زنجیره‌های حمله معمولی شامل تاکتیک‌های مهندسی اجتماعی برای فریب قربانیان برای اعطای مجوزهای نفوذی به برنامه‌های آلوده به بدافزار است. این مجوزها به بدافزار اجازه می‌دهد تا داده‌های حساس را جمع‌آوری کند، از جمله اطلاعات تماس، پیام‌های SMS (مانند کدهای 2FA)، مکان، گزارش تماس‌ها و فهرست‌های برنامه‌های نصب‌شده در میان داده‌های دیگر.

Rafel RAT در اصل از HTTP(S) برای ارتباطات Command-and-Control (C2) استفاده می کند، اما همچنین می تواند از Discord API برای برقراری ارتباط با عوامل تهدید استفاده کند. علاوه بر این، دارای یک پنل C2 مبتنی بر PHP است که کاربران ثبت نام شده می توانند از آن برای صدور دستورات به دستگاه های در معرض خطر استفاده کنند.

کاربران اندروید همواره هدف مجرمان سایبری هستند

کارآمدی این ابزار در میان بازیگران مختلف تهدید با مشارکت آن در عملیات باج افزاری که توسط مهاجمی که گمان می رود از ایران انجام شده است تأیید می شود. مهاجم یک یادداشت باج به زبان عربی از طریق پیامک ارسال کرد و از یک قربانی در پاکستان خواست تا از طریق تلگرام با آنها تماس بگیرد.

Rafel RAT قلمرو در حال تکامل بدافزار اندروید را نشان می‌دهد که با طراحی منبع باز، طیف گسترده از ویژگی‌ها و استقرار گسترده در فعالیت‌های غیرقانونی مختلف متمایز است. استفاده گسترده از آن بر اهمیت هوشیاری مداوم و اقدامات امنیتی پیشگیرانه برای محافظت از دستگاه های Android در برابر بهره برداری مضر تأکید می کند.