Rafel ŠTAKOR
Nekoliko aktera prijetnji, uključujući grupe za kibernetičku špijunažu, koriste Android alat za udaljenu administraciju otvorenog koda poznat kao Rafel RAT. Prerušavaju ga u popularne aplikacije poput Instagrama, WhatsAppa i razne aplikacije za e-trgovinu i anti-malware aplikacije kako bi postigli svoje štetne ciljeve.
Rafel RAT ovim akterima pruža robustan alat za daljinsku administraciju i kontrolu, olakšavajući razne opake aktivnosti kao što su krađa podataka i manipulacija uređajima. Njegove opsežne značajke uključuju brisanje SD kartica, brisanje zapisa poziva, presretanje obavijesti pa čak i funkcioniranje kao ransomware.
Sadržaj
Rafael RAT je otkriven u brojnim kampanjama napada
Stručnjaci za kibernetičku sigurnost prethodno su istaknuli korištenje Rafel RAT-a od strane APT-C-35 (također poznatog kao DoNot Team, Brainworm i Origami Elephant) u napadima koji su iskorištavali grešku u dizajnu u Foxit PDF Readeru kako bi prevarili korisnike da preuzmu prijeteće sadržaje. Ova kampanja, koja se dogodila u travnju 2024., koristila je PDF mamce s vojnom temom za isporuku zlonamjernog softvera.
Stručnjaci su identificirali približno 120 različitih štetnih kampanja, uključujući neke usmjerene na subjekte visokog profila, u raznim zemljama kao što su Australija, Kina, Češka, Francuska, Njemačka, Indija, Indonezija, Italija, Novi Zeland, Pakistan, Rumunjska, Rusija i SAD
Većina žrtava posjedovala je Samsung telefone, a slijede korisnici Xiaomi, Vivo i Huawei uređaja. Naime, oko 87,5% zaraženih uređaja imalo je zastarjele verzije Androida koje više ne primaju sigurnosna ažuriranja.
Rafel RAT može ugroziti širok raspon osjetljivih podataka
Tipični lanci napada uključuju taktike društvenog inženjeringa kako bi se žrtve prevarile da daju nametljive dozvole aplikacijama zaraženim zlonamjernim softverom. Ove dozvole omogućuju zlonamjernom softveru prikupljanje osjetljivih podataka, uključujući informacije o kontaktima, SMS poruke (kao što su 2FA kodovi), lokaciju, zapise poziva i popise instaliranih aplikacija među ostalim podacima.
Rafel RAT prvenstveno koristi HTTP(S) za Command-and-Control (C2) komunikaciju, ali također može koristiti Discord API-je za komunikaciju s akterima prijetnji. Dodatno, sadrži C2 ploču temeljenu na PHP-u koju registrirani korisnici mogu koristiti za izdavanje naredbi ugroženim uređajima.
Korisnici Androida i dalje su česta meta kibernetičkih kriminalaca
Učinkovitost alata kod različitih aktera prijetnji potvrđena je njegovom uključenošću u operaciju ransomwarea koju provodi napadač za kojeg se vjeruje da je iz Irana. Napadač je poslao poruku o otkupnini na arapskom putem SMS-a, pozivajući žrtvu u Pakistanu da im se javi putem Telegrama.
Rafel RAT primjer je razvijajućeg područja zlonamjernog softvera za Android, koji se ističe dizajnom otvorenog koda, sveobuhvatnim rasponom značajki i opsežnom primjenom u raznim nedopuštenim aktivnostima. Njegova široka upotreba naglašava važnost stalne budnosti i proaktivnih sigurnosnih mjera za zaštitu Android uređaja od štetnog iskorištavanja.
