Rafel RAT
Keli grėsmės veikėjai, įskaitant kibernetinio šnipinėjimo grupes, naudoja atvirojo kodo Android nuotolinio administravimo įrankį, žinomą kaip Rafel RAT. Jie užmaskuoja tai kaip populiarias programas, tokias kaip „Instagram“, „WhatsApp“ ir įvairias elektroninės prekybos bei kenkėjiškų programų programas, kad pasiektų savo žalingus tikslus.
„Rafel RAT“ suteikia šiems veikėjams patikimą nuotolinio administravimo ir valdymo įrankių rinkinį, palengvinantį įvairią nešvankią veiklą, pvz., duomenų vagystes ir manipuliavimą įrenginiais. Jo plačios funkcijos apima SD kortelių valymą, skambučių žurnalų trynimą, pranešimų perėmimą ir netgi išpirkos reikalaujančių programų veikimą.
Turinys
Rafael RAT buvo aptiktas daugelyje puolimo kampanijų
Kibernetinio saugumo ekspertai anksčiau pabrėžė, kad APT-C-35 (taip pat žinomas kaip DoNot Team, Brainworm ir Origami Elephant) naudojo Rafel RAT atakose, kurios išnaudojo Foxit PDF Reader dizaino trūkumą, kad apgautų vartotojus, kad jie atsisiųstų grėsmingus krovinius. Šioje kampanijoje, vykusioje 2024 m. balandžio mėn., kenkėjų programoms pristatyti buvo naudojami karinės temos PDF masalai.
Ekspertai nustatė maždaug 120 skirtingų žalingų kampanijų, įskaitant kai kurias nukreiptas į aukšto lygio subjektus, įvairiose šalyse, pvz., Australijoje, Kinijoje, Čekijoje, Prancūzijoje, Vokietijoje, Indijoje, Indonezijoje, Italijoje, Naujojoje Zelandijoje, Pakistane, Rumunijoje, Rusijoje ir JAV.
Daugumai aukų priklausė „Samsung“ telefonai, po jų seka „Xiaomi“, „Vivo“ ir „Huawei“ įrenginių vartotojai. Pažymėtina, kad maždaug 87,5 % užkrėstų įrenginių veikė pasenusios „Android“ versijos, kurios nebegauna saugos naujinimų.
Rafel RAT gali pakenkti daugeliui jautrių duomenų
Įprastos atakų grandinės apima socialinės inžinerijos taktiką, siekiant apgauti aukas, kad jos suteiktų įžeidžiančius leidimus kenkėjiškomis programomis užkrėstoms programoms. Šie leidimai leidžia kenkėjiškajai programai rinkti neskelbtinus duomenis, įskaitant kontaktinę informaciją, SMS žinutes (pvz., 2FA kodus), vietą, skambučių žurnalus ir įdiegtų programų sąrašus, be kitų duomenų.
„Rafel RAT“ pirmiausia naudoja HTTP(S) komandų ir valdymo (C2) ryšiams, tačiau taip pat gali naudoti „Discord“ API bendrauti su grėsmės veikėjais. Be to, jame yra PHP pagrindu sukurtas C2 skydelis, kurį registruoti vartotojai gali naudoti duodami komandas pažeistiems įrenginiams.
„Android“ naudotojai išlieka dažnu kibernetinių nusikaltėlių taikiniu
Įrankio veiksmingumas įvairiems grėsmės veikėjams patvirtinamas dėl jo dalyvavimo išpirkos reikalaujančioje operacijoje, kurią vykdė užpuolikas, kuris, kaip manoma, yra iš Irano. Užpuolikas SMS žinute atsiuntė išpirkos raštelį arabų kalba, ragindamas auką Pakistane susisiekti su ja per Telegram.
„Rafel RAT“ rodo besivystančią „Android“ kenkėjiškų programų sritį, išsiskiriančią atvirojo kodo dizainu, plačiu funkcijų asortimentu ir plačiu panaudojimu įvairiose neteisėtose veiklose. Plačiai paplitęs jo naudojimas pabrėžia nuolatinio budrumo ir aktyvių saugos priemonių svarbą siekiant apsaugoti „Android“ įrenginius nuo žalingo išnaudojimo.
