Rafels Žurka
Vairāki apdraudējuma dalībnieki, tostarp kiberspiegošanas grupas, izmanto atvērtā koda Android attālās administrēšanas rīku, kas pazīstams kā Rafel RAT. Viņi to maskē kā populāras lietojumprogrammas, piemēram, Instagram, WhatsApp un dažādas e-komercijas un ļaunprātīgas programmatūras apkarošanas lietojumprogrammas, lai sasniegtu savus kaitīgos mērķus.
Rafel RAT nodrošina šiem dalībniekiem spēcīgu rīku komplektu attālinātai administrēšanai un kontrolei, atvieglojot dažādas kaitīgas darbības, piemēram, datu zādzību un ierīces manipulācijas. Tās plašās funkcijas ietver SD karšu tīrīšanu, zvanu žurnālu dzēšanu, paziņojumu pārtveršanu un pat darbību kā izspiedējvīrusu.
Satura rādītājs
Rafael RAT tika atklāts daudzās uzbrukuma kampaņās
Kiberdrošības eksperti jau iepriekš ir uzsvēruši, ka APT-C-35 (pazīstams arī kā DoNot Team, Brainworm un Origami Elephant) izmanto Rafel RAT uzbrukumos, kas izmantoja Foxit PDF Reader dizaina trūkumu, lai maldinātu lietotājus, lai tie lejupielādētu apdraudošas kravas. Šajā kampaņā, kas notika 2024. gada aprīlī, ļaunprogrammatūras piegādei tika izmantoti ar militāru tematiku saistīti PDF lures.
Eksperti ir identificējuši aptuveni 120 dažādas kaitīgas kampaņas, tostarp dažas mērķauditorijas atlases pret augsta līmeņa organizācijām, dažādās valstīs, piemēram, Austrālijā, Ķīnā, Čehijā, Francijā, Vācijā, Indijā, Indonēzijā, Itālijā, Jaunzēlandē, Pakistānā, Rumānijā, Krievijā un ASV.
Lielākajai daļai upuru piederēja Samsung tālruņi, kam seko Xiaomi, Vivo un Huawei ierīču lietotāji. Jāatzīmē, ka aptuveni 87,5% inficēto ierīču darbojās novecojušas Android versijas, kuras vairs nesaņem drošības atjauninājumus.
Rafel RAT var apdraudēt plašu sensitīvu datu klāstu
Tipiskas uzbrukuma ķēdes ietver sociālās inženierijas taktiku, lai upuriem piemānītu uzmācīgas atļaujas ar ļaunprātīgu programmatūru inficētām lietojumprogrammām. Šīs atļaujas ļauj ļaunprātīgai programmatūrai apkopot sensitīvus datus, tostarp kontaktinformāciju, īsziņas (piemēram, 2FA kodus), atrašanās vietu, zvanu žurnālus un instalēto lietojumprogrammu sarakstus, kā arī citus datus.
Rafel RAT galvenokārt izmanto HTTP(S) Command-and-Control (C2) sakariem, taču var arī izmantot Discord API, lai sazinātos ar apdraudējuma dalībniekiem. Turklāt tajā ir uz PHP balstīts C2 panelis, ko reģistrētie lietotāji var izmantot, lai izdotu komandas apdraudētām ierīcēm.
Android lietotāji joprojām ir biežs kibernoziedznieku mērķis
Rīka efektivitāti dažādu apdraudējuma dalībnieku vidū apstiprina tā līdzdalība izpirkuma programmatūras operācijā, ko veica uzbrucējs, kurš, domājams, ir no Irānas. Uzbrucējs ar īsziņu nosūtīja izpirkuma vēstuli arābu valodā, mudinot upuri Pakistānā sazināties ar viņiem, izmantojot Telegram.
Rafel RAT ir piemērs Android ļaunprogrammatūras attīstībai, kas izceļas ar atvērtā pirmkoda dizainu, plašu funkciju klāstu un plašu izvietošanu dažādās nelikumīgās darbībās. Tā plašā izmantošana uzsver pastāvīgas modrības un proaktīvu drošības pasākumu nozīmi, lai aizsargātu Android ierīces no kaitīgas izmantošanas.
