Rafel RAT
Useat uhkatoimijat, mukaan lukien kybervakoiluryhmät, käyttävät avoimen lähdekoodin Android-etähallintatyökalua, joka tunnetaan nimellä Rafel RAT. He naamioivat sen suosituiksi sovelluksiksi, kuten Instagram, WhatsApp ja erilaiset verkkokaupan ja haittaohjelmien torjuntasovellukset saavuttaakseen haitalliset tavoitteensa.
Rafel RAT tarjoaa näille toimijoille vankan työkalupakin etähallintaan ja -hallintaan, mikä helpottaa erilaisia ilkeitä toimintoja, kuten datavarkauksia ja laitteiden manipulointia. Sen laajat ominaisuudet sisältävät SD-korttien pyyhkimisen, puhelulokien poistamisen, ilmoitusten sieppaamisen ja jopa ransomware-toiminnon.
Sisällysluettelo
Rafael RAT havaittiin lukuisissa hyökkäyskampanjoissa
Kyberturvallisuusasiantuntijat ovat aiemmin korostaneet APT-C-35 :n (tunnetaan myös nimellä DoNot Team, Brainworm ja Origami Elephant) Rafel RAT:n käyttöä hyökkäyksissä, joissa hyödynnettiin Foxit PDF Readerin suunnitteluvirhettä käyttäjien huijaamiseksi lataamaan uhkaavia hyötykuormia. Tämä huhtikuussa 2024 järjestetyssä kampanjassa käytettiin armeija-aiheisia PDF-uistimia haittaohjelman toimittamiseen.
Asiantuntijat ovat tunnistaneet noin 120 erilaista haitallista kampanjaa, joista osa on kohdistettu korkean profiilin yhteisöihin, eri maissa, kuten Australiassa, Kiinassa, Tšekissä, Ranskassa, Saksassa, Intiassa, Indonesiassa, Italiassa, Uudessa-Seelannissa, Pakistanissa, Romaniassa, Venäjällä ja Yhdysvalloissa.
Suurin osa uhreista omisti Samsung-puhelimia ja seuraavaksi Xiaomi-, Vivo- ja Huawei-laitteiden käyttäjät. Noin 87,5 prosentilla tartunnan saaneista laitteista oli vanhentuneita Android-versioita, jotka eivät enää saa tietoturvapäivityksiä.
Rafel RAT voi vaarantaa laajan valikoiman arkaluonteisia tietoja
Tyypillisiin hyökkäysketjuihin liittyy sosiaalisen manipuloinnin taktiikkaa, jolla uhrit huijataan myöntämään tunkeilevia käyttöoikeuksia haittaohjelmien saastuttamille sovelluksille. Näiden lupien avulla haittaohjelmat voivat kerätä arkaluontoisia tietoja, kuten yhteystietoja, tekstiviestejä (kuten 2FA-koodeja), sijaintia, puhelulokeja ja luetteloita asennetuista sovelluksista muiden tietojen ohella.
Rafel RAT käyttää ensisijaisesti HTTP(S):tä Command-and-Control (C2) -viestintään, mutta se voi myös käyttää Discord-sovellusliittymiä viestiäkseen uhkatekijöiden kanssa. Lisäksi siinä on PHP-pohjainen C2-paneeli, jolla rekisteröityneet käyttäjät voivat antaa komentoja vaarantuneille laitteille.
Android-käyttäjät ovat edelleen usein kyberrikollisten kohde
Työkalun tehokkuus eri uhkatoimijoissa vahvistetaan sen osallistumisella kiristysohjelmaoperaatioon, jonka suoritti hyökkääjä, jonka uskotaan olevan Iranista. Hyökkääjä lähetti arabiankielisen lunnaat tekstiviestillä ja kehotti Pakistanissa olevaa uhria ottamaan heihin yhteyttä Telegramin kautta.
Rafel RAT on esimerkki Android-haittaohjelmien kehittyvästä alueesta, joka erottuu avoimen lähdekoodin suunnittelustaan, kattavasta ominaisuuksistaan ja laajasta käyttöönotosta erilaisissa laittomissa toimissa. Sen laaja käyttö korostaa jatkuvan valppauden ja ennakoivien turvatoimien tärkeyttä Android-laitteiden suojaamiseksi haitalliselta hyväksikäytöltä.
