Rafel RAT
Flere trusselaktører, inkludert cyberspionasjegrupper, bruker et åpen kildekode Android Remote Administration Tool kjent som Rafel RAT. De skjuler det som populære applikasjoner som Instagram, WhatsApp og ulike e-handels- og anti-malware-applikasjoner for å nå sine skadelige mål.
Rafel RAT gir disse aktørene et robust verktøysett for fjernadministrasjon og -kontroll, og tilrettelegger for ulike ufarlige aktiviteter som datatyveri og enhetsmanipulasjon. Dens omfattende funksjoner inkluderer å tørke SD-kort, slette anropslogger, avskjære varsler og til og med fungere som løsepengeprogramvare.
Innholdsfortegnelse
Rafael RAT ble oppdaget i en rekke angrepskampanjer
Eksperter på nettsikkerhet har tidligere fremhevet bruken av Rafel RAT av APT-C-35 (også kjent som DoNot Team, Brainworm og Origami Elephant) i angrep som utnyttet en designfeil i Foxit PDF Reader for å lure brukere til å laste ned truende nyttelast. Denne kampanjen, som fant sted i april 2024, brukte PDF-lokker med militærtema for å levere skadelig programvare.
Eksperter har identifisert omtrent 120 forskjellige skadelige kampanjer, inkludert noen rettet mot høyprofilerte enheter, på tvers av forskjellige land som Australia, Kina, Tsjekkia, Frankrike, Tyskland, India, Indonesia, Italia, New Zealand, Pakistan, Romania, Russland og USA
Flertallet av ofrene eide Samsung-telefoner, etterfulgt av brukere av Xiaomi-, Vivo- og Huawei-enheter. Spesielt, rundt 87,5 % av de infiserte enhetene kjørte utdaterte Android-versjoner som ikke lenger mottar sikkerhetsoppdateringer.
Rafel RAT kan kompromittere et bredt spekter av sensitive data
Typiske angrepskjeder involverer sosial ingeniørtaktikk for å lure ofre til å gi påtrengende tillatelser til applikasjoner som er infisert med skadelig programvare. Disse tillatelsene tillater skadelig programvare å samle inn sensitive data, inkludert kontaktinformasjon, SMS-meldinger (som 2FA-koder), plassering, anropslogger og lister over installerte applikasjoner blant andre data.
Rafel RAT bruker primært HTTP(S) for Command-and-Control (C2) kommunikasjon, men kan også bruke Discord APIer for å kommunisere med trusselaktører. I tillegg har den et PHP-basert C2-panel som registrerte brukere kan bruke til å utstede kommandoer til kompromitterte enheter.
Android-brukere forblir et hyppig mål for nettkriminelle
Verktøyets effektivitet på tvers av ulike trusselaktører er validert av dets involvering i en løsepengevareoperasjon utført av en angriper som antas å være fra Iran. Angriperen sendte en løsepenge på arabisk via SMS, og oppfordret et offer i Pakistan til å kontakte dem gjennom Telegram.
Rafel RAT eksemplifiserer utviklingen av Android-skadevare, kjennetegnet ved åpen kildekode-design, omfattende utvalg av funksjoner og omfattende distribusjon i ulike ulovlige aktiviteter. Den utbredte bruken understreker viktigheten av kontinuerlig årvåkenhet og proaktive sikkerhetstiltak for å beskytte Android-enheter mot skadelig utnyttelse.
