Rafel RAT
Verschillende bedreigingsactoren, waaronder cyberspionagegroepen, maken gebruik van een open-source Android Remote Administration Tool, bekend als de Rafel RAT. Ze vermommen het als populaire applicaties zoals Instagram, WhatsApp en verschillende e-commerce- en antimalwareapplicaties om hun schadelijke doelen te bereiken.
De Rafel RAT biedt deze actoren een robuuste toolkit voor beheer en controle op afstand, waardoor verschillende snode activiteiten zoals gegevensdiefstal en apparaatmanipulatie worden vergemakkelijkt. De uitgebreide functies omvatten het wissen van SD-kaarten, het verwijderen van oproeplogboeken, het onderscheppen van meldingen en zelfs het functioneren als ransomware.
Inhoudsopgave
De Rafael RAT werd gedetecteerd in talloze aanvalscampagnes
Cybersecurity-experts hebben eerder de nadruk gelegd op het gebruik van de Rafel RAT door APT-C-35 (ook bekend als DoNot Team, Brainworm en Origami Elephant) bij aanvallen waarbij gebruik werd gemaakt van een ontwerpfout in Foxit PDF Reader om gebruikers te misleiden om bedreigende ladingen te downloaden. Deze campagne, die plaatsvond in april 2024, maakte gebruik van PDF-lokmiddelen met een militair thema om de malware te verspreiden.
Deskundigen hebben ongeveer 120 verschillende schadelijke campagnes geïdentificeerd, waaronder enkele gericht op spraakmakende entiteiten, in verschillende landen, zoals Australië, China, Tsjechië, Frankrijk, Duitsland, India, Indonesië, Italië, Nieuw-Zeeland, Pakistan, Roemenië, Rusland en de VS.
De meerderheid van de slachtoffers bezat Samsung-telefoons, gevolgd door gebruikers van Xiaomi-, Vivo- en Huawei-apparaten. Opvallend is dat ongeveer 87,5% van de geïnfecteerde apparaten verouderde Android-versies draaiden die geen beveiligingsupdates meer ontvangen.
De Rafel RAT kan een breed scala aan gevoelige gegevens compromitteren
Typische aanvalsketens omvatten social engineering-tactieken om slachtoffers te misleiden om opdringerige toestemmingen te verlenen aan met malware geïnfecteerde applicaties. Met deze machtigingen kan de malware gevoelige gegevens verzamelen, waaronder contactgegevens, sms-berichten (zoals 2FA-codes), locatie, oproeplogboeken en lijsten met geïnstalleerde applicaties.
De Rafel RAT maakt voornamelijk gebruik van HTTP(S) voor Command-and-Control (C2)-communicatie, maar kan ook Discord API's gebruiken om met bedreigingsactoren te communiceren. Bovendien beschikt het over een op PHP gebaseerd C2-paneel dat geregistreerde gebruikers kunnen gebruiken om opdrachten te geven aan gecompromitteerde apparaten.
Android-gebruikers blijven een frequent doelwit van cybercriminelen
De doeltreffendheid van de tool bij verschillende bedreigingsactoren wordt gevalideerd door zijn betrokkenheid bij een ransomware-operatie uitgevoerd door een aanvaller die vermoedelijk uit Iran komt. De aanvaller stuurde via sms een losgeldbriefje in het Arabisch, waarin hij een slachtoffer in Pakistan aanspoorde contact met hen op te nemen via Telegram.
De Rafel RAT is een voorbeeld van de evoluerende wereld van Android-malware, die zich onderscheidt door zijn open-sourceontwerp, uitgebreide reeks functies en uitgebreide inzet bij verschillende illegale activiteiten. Het wijdverbreide gebruik ervan onderstreept het belang van voortdurende waakzaamheid en proactieve beveiligingsmaatregelen om Android-apparaten te beschermen tegen schadelijke uitbuiting.
