라펠 쥐

사이버 스파이 그룹을 포함한 여러 위협 행위자는 Rafel RAT로 알려진 오픈 소스 Android 원격 관리 도구를 활용하고 있습니다. 그들은 유해한 목표를 달성하기 위해 Instagram, WhatsApp, 다양한 전자 상거래 및 맬웨어 방지 애플리케이션과 같은 인기 있는 애플리케이션으로 위장합니다.

Rafel RAT는 이러한 행위자에게 원격 관리 및 제어를 위한 강력한 툴킷을 제공하여 데이터 도난 및 장치 조작과 같은 다양한 사악한 활동을 촉진합니다. 광범위한 기능에는 SD 카드 삭제, 통화 기록 삭제, 알림 가로채기, 심지어 랜섬웨어로 작동하는 기능도 포함됩니다.

Rafael RAT는 수많은 공격 캠페인에서 탐지되었습니다

사이버 보안 전문가들은 이전에 Foxit PDF Reader의 설계 결함을 악용하여 사용자를 속여 위협적인 페이로드를 다운로드하도록 하는 공격에서 APT-C-35 (DoNot Team, Brainworm 및 Origami Elephant라고도 함)의 Rafel RAT를 사용했음을 강조했습니다. 2024년 4월에 발생한 이 캠페인은 군사 테마의 PDF 미끼를 사용하여 악성코드를 전달했습니다.

전문가들은 호주, 중국, 체코, 프랑스, 독일, 인도, 인도네시아, 이탈리아, 뉴질랜드, 파키스탄, 루마니아, 러시아 및 미국 등 다양한 국가에서 세간의 이목을 끄는 단체를 표적으로 삼는 일부를 포함하여 약 120개의 서로 다른 유해한 캠페인을 식별했습니다.

피해자의 대다수는 삼성 휴대폰을 소유하고 있었고 샤오미(Xiaomi), 비보(Vivo), 화웨이(Huawei) 기기 사용자가 그 뒤를 이었습니다. 특히, 감염된 장치의 약 87.5%가 더 이상 보안 업데이트를 받을 수 없는 오래된 Android 버전을 실행하고 있었습니다.

Rafel RAT는 광범위한 민감한 데이터를 손상시킬 수 있습니다

일반적인 공격 체인에는 피해자를 속여 맬웨어에 감염된 애플리케이션에 침입 권한을 부여하도록 하는 사회 공학적 전술이 포함됩니다. 이러한 권한을 통해 악성코드는 연락처 정보, SMS 메시지(예: 2FA 코드), 위치, 통화 기록, 설치된 애플리케이션 목록 등 기타 데이터를 포함한 민감한 데이터를 수집할 수 있습니다.

Rafel RAT는 명령 및 제어(C2) 통신에 주로 HTTP(S)를 사용하지만 Discord API를 활용하여 위협 행위자와 통신할 수도 있습니다. 또한 등록된 사용자가 손상된 장치에 명령을 실행하는 데 사용할 수 있는 PHP 기반 C2 패널을 갖추고 있습니다.

Android 사용자는 여전히 사이버 범죄자의 빈번한 표적입니다

다양한 위협 행위자에 대한 이 도구의 효율성은 이란 출신으로 추정되는 공격자가 수행한 랜섬웨어 작업에 이 도구가 관여한 것으로 입증되었습니다. 공격자는 SMS를 통해 아랍어로 몸값 메모를 보냈고 파키스탄의 피해자에게 텔레그램을 통해 연락할 것을 촉구했습니다.

Rafel RAT는 오픈 소스 설계, 포괄적인 기능, 다양한 불법 활동에 대한 광범위한 배포로 구별되는 진화하는 Android 악성 코드 영역의 예입니다. 광범위한 사용은 Android 기기를 유해한 악용으로부터 보호하기 위한 지속적인 경계와 사전 보안 조치의 중요성을 강조합니다.