Rafał RAT
Kilku cyberprzestępców, w tym grupy cyberszpiegowskie, wykorzystuje narzędzie do zdalnej administracji Androidem o otwartym kodzie źródłowym, znane jako Rafel RAT. Ukrywają go pod postacią popularnych aplikacji, takich jak Instagram, WhatsApp oraz różnych aplikacji do handlu elektronicznego i aplikacji chroniących przed złośliwym oprogramowaniem, aby osiągnąć swoje szkodliwe cele.
Rafel RAT zapewnia tym podmiotom solidny zestaw narzędzi do zdalnego administrowania i kontroli, ułatwiając różne nikczemne działania, takie jak kradzież danych i manipulowanie urządzeniami. Jego rozbudowane funkcje obejmują czyszczenie kart SD, usuwanie dzienników połączeń, przechwytywanie powiadomień, a nawet działanie jako oprogramowanie ransomware.
Spis treści
Rafael RAT został wykryty w licznych kampaniach ataków
Eksperci ds. cyberbezpieczeństwa zwracali już uwagę na wykorzystanie narzędzia Rafel RAT przez APT-C-35 (znanego również jako DoNot Team, Brainworm i Origami Elephant) w atakach wykorzystujących wadę projektową czytnika Foxit PDF Reader w celu oszukania użytkowników w celu pobrania niebezpiecznych ładunków. W tej kampanii, która miała miejsce w kwietniu 2024 r., do dostarczenia szkodliwego oprogramowania wykorzystano przynęty PDF o tematyce wojskowej.
Eksperci zidentyfikowali około 120 różnych szkodliwych kampanii, w tym niektóre skierowane do znanych podmiotów, w różnych krajach, takich jak Australia, Chiny, Czechy, Francja, Niemcy, Indie, Indonezja, Włochy, Nowa Zelandia, Pakistan, Rumunia, Rosja i USA
Większość ofiar posiadała telefony Samsung, następnie użytkownicy urządzeń Xiaomi, Vivo i Huawei. Warto zauważyć, że około 87,5% zainfekowanych urządzeń miało przestarzałe wersje Androida, które nie otrzymują już aktualizacji zabezpieczeń.
Rafel RAT może naruszyć szeroki zakres wrażliwych danych
Typowe łańcuchy ataków obejmują taktykę socjotechniki mającą na celu nakłonienie ofiar do udzielenia natrętnych uprawnień aplikacjom zainfekowanym złośliwym oprogramowaniem. Uprawnienia te pozwalają złośliwemu oprogramowaniu zbierać poufne dane, w tym między innymi dane kontaktowe, wiadomości SMS (takie jak kody 2FA), lokalizację, dzienniki połączeń i listy zainstalowanych aplikacji.
Rafel RAT wykorzystuje przede wszystkim protokół HTTP(S) do komunikacji typu Command-and-Control (C2), ale może również wykorzystywać interfejsy API Discord do komunikacji z aktorami zagrażającymi. Dodatkowo zawiera panel C2 oparty na PHP, za pomocą którego zarejestrowani użytkownicy mogą wydawać polecenia zaatakowanym urządzeniom.
Użytkownicy Androida pozostają częstym celem cyberprzestępców
Skuteczność narzędzia w walce z różnymi podmiotami zagrażającymi potwierdza jego udział w operacji ransomware przeprowadzonej przez osobę atakującą prawdopodobnie pochodzącą z Iranu. Napastnik wysłał SMS-em wiadomość z żądaniem okupu w języku arabskim, wzywając ofiarę w Pakistanie do skontaktowania się z nią za pośrednictwem telegramu.
Rafel RAT jest przykładem rozwijającej się dziedziny złośliwego oprogramowania dla systemu Android, wyróżniającego się konstrukcją typu open source, kompleksowym zakresem funkcji i szerokim zastosowaniem w różnych nielegalnych działaniach. Jego powszechne stosowanie podkreśla znaczenie ciągłej czujności i proaktywnych środków bezpieczeństwa w celu ochrony urządzeń z Androidem przed szkodliwym wykorzystaniem.
