רפל RAT
מספר גורמי איומים, כולל קבוצות ריגול סייבר, משתמשים בכלי ניהול מרחוק של אנדרואיד בקוד פתוח המכונה Rafel RAT. הם מסווים את זה ליישומים פופולריים כמו אינסטגרם, וואטסאפ ויישומי מסחר אלקטרוני ונגד תוכנות זדוניות שונות כדי להשיג את המטרות המזיקות שלהם.
ה-Rafel RAT מספק לשחקנים אלה ערכת כלים חזקה לניהול ושליטה מרחוק, ומאפשרת פעילויות מרושעות שונות כגון גניבת נתונים ומניפולציה של מכשירים. התכונות הנרחבות שלו כוללות מחיקת כרטיסי SD, מחיקת יומני שיחות, יירוט הודעות ואפילו תפקוד כתוכנת כופר.
תוכן העניינים
ה-RAT של רפאל זוהה במסעות תקיפה רבים
מומחי אבטחת סייבר הדגישו בעבר את השימוש ב-Rafel RAT על ידי APT-C-35 (הידוע גם בשם DoNot Team, Brainworm ו-Origami Elephant) בהתקפות שניצלו פגם עיצובי ב-Foxit PDF Reader כדי להונות משתמשים כדי להוריד מטענים מאיימים. מסע פרסום זה, שהתרחש באפריל 2024, השתמש בפתיונות PDF בנושא צבאי כדי לספק את התוכנה הזדונית.
מומחים זיהו כ-120 מסעות פרסום מזיקים שונים, כולל כמה מכוונים לגופים בעלי פרופיל גבוה, במדינות שונות כמו אוסטרליה, סין, צ'כיה, צרפת, גרמניה, הודו, אינדונזיה, איטליה, ניו זילנד, פקיסטן, רומניה, רוסיה וארה"ב
רוב הקורבנות היו הבעלים של טלפונים של סמסונג, ואחריהם משתמשים במכשירי Xiaomi, Vivo ו-Huawei. יש לציין כי בסביבות 87.5% מהמכשירים הנגועים היו גרסאות אנדרואיד מיושנות שכבר לא מקבלים עדכוני אבטחה.
ה-Rafel RAT יכול לסכן מגוון רחב של נתונים רגישים
שרשראות תקיפה טיפוסיות כוללות טקטיקות של הנדסה חברתית כדי להערים על קורבנות להעניק הרשאות פולשניות ליישומים נגועים בתוכנה זדונית. הרשאות אלו מאפשרות לתוכנה הזדונית לאסוף נתונים רגישים, לרבות פרטי קשר, הודעות SMS (כגון קודי 2FA), מיקום, יומני שיחות ורשימות של יישומים מותקנים בין נתונים אחרים.
ה-Rafel RAT משתמש בעיקר ב-HTTP(S) לתקשורת Command-and-Control (C2), אך יכול גם להשתמש בממשקי Discord API כדי לתקשר עם גורמי איומים. בנוסף, הוא כולל פאנל C2 מבוסס PHP שמשתמשים רשומים יכולים להשתמש בו כדי להנפיק פקודות למכשירים שנפגעו.
משתמשי אנדרואיד נשארים יעד תכוף של פושעי סייבר
יעילותו של הכלי בקרב גורמי איומים שונים מאומתת על ידי מעורבותו בפעולת כופר שבוצעה על ידי תוקף שלדעתו הוא מאיראן. התוקף שלח פתק כופר בערבית באמצעות SMS, וקרא לקורבן בפקיסטן ליצור איתם קשר באמצעות טלגרם.
ה-Rafel RAT מדגים את התחום המתפתח של תוכנות זדוניות של אנדרואיד, בולט בעיצוב הקוד הפתוח, מגוון תכונות מקיף ופריסה נרחבת בפעילויות בלתי חוקיות שונות. השימוש הנרחב בו מדגיש את החשיבות של ערנות מתמשכת ואמצעי אבטחה יזומים כדי להגן על מכשירי אנדרואיד מפני ניצול פוגע.
