Rafel RAT
Számos fenyegetett szereplő, köztük a kiberkémkedési csoportok, a Rafel RAT néven ismert nyílt forráskódú Android Remote Administration Tool-t használnak. Olyan népszerű alkalmazásoknak álcázzák, mint az Instagram, a WhatsApp, valamint különféle e-kereskedelmi és kártevőirtó alkalmazások, hogy elérjék káros céljaikat.
A Rafel RAT robusztus eszköztárat biztosít ezeknek a szereplőknek a távoli adminisztrációhoz és vezérléshez, megkönnyítve a különféle rosszindulatú tevékenységeket, például az adatlopást és az eszközkezelést. Széleskörű funkciói közé tartozik az SD-kártyák törlése, a hívásnaplók törlése, az értesítések lehallgatása és még ransomware-ként is működik.
Tartalomjegyzék
A Rafael RAT-ot számos támadási kampányban észlelték
A kiberbiztonsági szakértők korábban kiemelték, hogy az APT-C-35 (más néven DoNot Team, Brainworm és Origami Elephant) Rafel RAT-ot használt olyan támadásokban, amelyek a Foxit PDF Reader tervezési hibáját használták ki, hogy megtévesszék a felhasználókat, hogy fenyegető rakományokat töltsenek le. Ez a kampány, amelyre 2024 áprilisában került sor, katonai témájú PDF csalikokat használt a rosszindulatú programok eljuttatására.
A szakértők hozzávetőleg 120 különböző káros kampányt azonosítottak, köztük néhány nagy horderejű entitásokat célzó különféle országokban, például Ausztráliában, Kínában, Csehországban, Franciaországban, Németországban, Indiában, Indonéziában, Olaszországban, Új-Zélandon, Pakisztánban, Romániában, Oroszországban és az Egyesült Államokban.
Az áldozatok többségének Samsung telefonja volt, őket követik a Xiaomi, a Vivo és a Huawei készülékek felhasználói. Figyelemre méltó, hogy a fertőzött eszközök körülbelül 87,5%-a elavult Android-verziót futtatott, amely már nem kap biztonsági frissítéseket.
A Rafel RAT az érzékeny adatok széles skáláját veszélyeztetheti
A tipikus támadási láncok szociális tervezési taktikákat foglalnak magukban, hogy rávegyék az áldozatokat, hogy tolakodó engedélyeket adjanak a rosszindulatú programokkal fertőzött alkalmazásoknak. Ezek az engedélyek lehetővé teszik a rosszindulatú program számára, hogy bizalmas adatokat gyűjtsön, beleértve a kapcsolatfelvételi adatokat, SMS-üzeneteket (például 2FA-kódokat), tartózkodási helyet, hívásnaplókat és a telepített alkalmazások listáját, többek között.
A Rafel RAT elsősorban HTTP(S)-t használ a Command-and-Control (C2) kommunikációhoz, de használhat Discord API-kat is a fenyegetés szereplőivel való kommunikációhoz. Ezenkívül tartalmaz egy PHP-alapú C2 panelt, amellyel a regisztrált felhasználók parancsokat adhatnak ki a feltört eszközöknek.
Az Android-felhasználók továbbra is a kiberbűnözők gyakori célpontjai
Az eszköz hatékonyságát a fenyegetés különböző szereplői között az igazolja, hogy részt vett egy zsarolóvírus-műveletben, amelyet egy feltételezett iráni támadó hajtott végre. A támadó SMS-ben váltságdíjat küldött arab nyelven, és felszólított egy pakisztáni áldozatot, hogy vegye fel velük a kapcsolatot a Telegramon keresztül.
A Rafel RAT az Android rosszindulatú szoftvereinek fejlődő birodalmát szemlélteti, amelyet nyílt forráskódú kialakítása, átfogó funkciói, valamint a különféle tiltott tevékenységekben való kiterjedt telepítése különböztet meg. Széles körben elterjedt használata hangsúlyozza a folyamatos éberség és a proaktív biztonsági intézkedések fontosságát, hogy megvédjék az Android-eszközöket a káros kizsákmányolástól.
