Rafel RAT
Beberapa pelaku ancaman, termasuk kumpulan pengintipan siber, menggunakan Alat Pentadbiran Jauh Android sumber terbuka yang dikenali sebagai Rafel RAT. Mereka menyamar sebagai aplikasi popular seperti Instagram, WhatsApp, dan pelbagai aplikasi e-dagang dan anti-perisian hasad untuk mencapai matlamat berbahaya mereka.
Rafel RAT menyediakan pelakon ini dengan kit alat yang mantap untuk pentadbiran dan kawalan jauh, memudahkan pelbagai aktiviti jahat seperti kecurian data dan manipulasi peranti. Ciri-cirinya yang luas termasuk mengelap kad SD, memadam log panggilan, memintas pemberitahuan dan juga berfungsi sebagai perisian tebusan.
Isi kandungan
Rafael RAT telah Dikesan dalam Pelbagai Kempen Serangan
Pakar keselamatan siber sebelum ini telah menyerlahkan penggunaan Rafel RAT oleh APT-C-35 (juga dikenali sebagai DoNot Team, Brainworm, dan Origami Elephant) dalam serangan yang mengeksploitasi kecacatan reka bentuk dalam Foxit PDF Reader untuk memperdaya pengguna supaya memuat turun muatan yang mengancam. Kempen ini, yang berlaku pada April 2024, menggunakan gewang PDF bertemakan tentera untuk menghantar perisian hasad.
Pakar telah mengenal pasti kira-kira 120 kempen berbahaya yang berbeza, termasuk beberapa menyasarkan entiti berprofil tinggi, merentas pelbagai negara seperti Australia, China, Czechia, Perancis, Jerman, India, Indonesia, Itali, New Zealand, Pakistan, Romania, Rusia dan AS
Majoriti mangsa memiliki telefon Samsung, diikuti oleh pengguna peranti Xiaomi, Vivo dan Huawei. Terutama, kira-kira 87.5% daripada peranti yang dijangkiti menjalankan versi Android lapuk yang tidak lagi menerima kemas kini keselamatan.
RAT Rafel boleh Mengkompromi Pelbagai Data Sensitif
Rantaian serangan biasa melibatkan taktik kejuruteraan sosial untuk menipu mangsa agar memberikan kebenaran mengganggu kepada aplikasi yang dijangkiti perisian hasad. Kebenaran ini membenarkan perisian hasad untuk mengumpulkan data sensitif, termasuk maklumat hubungan, mesej SMS (seperti kod 2FA), lokasi, log panggilan dan senarai aplikasi yang dipasang antara data lain.
Rafel RAT terutamanya menggunakan HTTP(S) untuk komunikasi Command-and-Control (C2) tetapi juga boleh menggunakan API Discord untuk berkomunikasi dengan pelaku ancaman. Selain itu, ia menampilkan panel C2 berasaskan PHP yang boleh digunakan pengguna berdaftar untuk mengeluarkan arahan kepada peranti yang terjejas.
Pengguna Android Kekal Menjadi Sasaran Penjenayah Siber
Keberkesanan alat itu merentas pelaku ancaman yang berbeza disahkan oleh penglibatannya dalam operasi perisian tebusan yang dijalankan oleh penyerang yang dipercayai berasal dari Iran. Penyerang menghantar nota tebusan dalam bahasa Arab melalui SMS, menggesa seorang mangsa di Pakistan menghubungi mereka melalui Telegram.
Rafel RAT mencontohkan alam berkembang perisian hasad Android, dibezakan oleh reka bentuk sumber terbuka, rangkaian ciri yang komprehensif dan penggunaan yang meluas dalam pelbagai aktiviti terlarang. Penggunaannya yang meluas menekankan kepentingan kewaspadaan yang berterusan dan langkah keselamatan proaktif untuk melindungi peranti Android daripada eksploitasi yang menyakitkan.
