Rafel RAT
Mai mulți actori de amenințări, inclusiv grupuri de spionaj cibernetic, utilizează un instrument de administrare la distanță Android open-source, cunoscut sub numele de Rafel RAT. Îl deghizează în aplicații populare precum Instagram, WhatsApp și diverse aplicații de comerț electronic și anti-malware pentru a-și atinge obiectivele dăunătoare.
Rafel RAT oferă acestor actori un set de instrumente robust pentru administrarea și controlul de la distanță, facilitând diverse activități nefaste, cum ar fi furtul de date și manipularea dispozitivelor. Caracteristicile sale extinse includ ștergerea cardurilor SD, ștergerea jurnalelor de apeluri, interceptarea notificărilor și chiar funcționarea ca ransomware.
Cuprins
Rafael RAT a fost detectat în numeroase campanii de atac
Experții în securitate cibernetică au evidențiat anterior utilizarea Rafel RAT de către APT-C-35 (cunoscut și ca DoNot Team, Brainworm și Origami Elephant) în atacuri care au exploatat o defecțiune de design în Foxit PDF Reader pentru a înșela utilizatorii să descarce încărcături utile amenințătoare. Această campanie, care a avut loc în aprilie 2024, a folosit momeli PDF cu tematică militară pentru a furniza malware-ul.
Experții au identificat aproximativ 120 de campanii dăunătoare diferite, inclusiv unele care vizează entități de profil înalt, în diferite țări precum Australia, China, Cehia, Franța, Germania, India, Indonezia, Italia, Noua Zeelandă, Pakistan, România, Rusia și SUA.
Majoritatea victimelor dețineau telefoane Samsung, urmate de utilizatorii de dispozitive Xiaomi, Vivo și Huawei. În special, aproximativ 87,5% dintre dispozitivele infectate rulau versiuni Android învechite care nu mai primesc actualizări de securitate.
Rafel RAT poate compromite o gamă largă de date sensibile
Lanțurile de atac tipice implică tactici de inginerie socială pentru a păcăli victimele să acorde permisiuni intruzive aplicațiilor infectate cu malware. Aceste permisiuni permit malware-ului să adune date sensibile, inclusiv informații de contact, mesaje SMS (cum ar fi coduri 2FA), locație, jurnalele de apeluri și liste de aplicații instalate, printre alte date.
Rafel RAT folosește în principal HTTP(S) pentru comunicațiile Command-and-Control (C2), dar poate folosi și API-urile Discord pentru a comunica cu actorii amenințărilor. În plus, are un panou C2 bazat pe PHP pe care utilizatorii înregistrați îl pot folosi pentru a emite comenzi dispozitivelor compromise.
Utilizatorii Android rămân o țintă frecventă a criminalilor cibernetici
Eficacitatea instrumentului în rândul diferiților actori ai amenințărilor este validată de implicarea sa într-o operațiune de ransomware efectuată de un atacator despre care se crede că este din Iran. Atacatorul a trimis o notă de răscumpărare în arabă prin SMS, îndemnând o victimă din Pakistan să o contacteze prin Telegram.
Rafel RAT exemplifica domeniul evolutiv al malware-ului Android, remarcandu-se prin designul open-source, gama cuprinzatoare de caracteristici si implementarea extinsa in diverse activitati ilicite. Utilizarea sa pe scară largă subliniază importanța vigilenței continue și a măsurilor de securitate proactive pentru a proteja dispozitivele Android de exploatarea dăunătoare.
