Рафель РАТ
Несколько злоумышленников, в том числе группы кибершпионажа, используют инструмент удаленного администрирования Android с открытым исходным кодом, известный как Rafel RAT. Они маскируют его под популярные приложения, такие как Instagram, WhatsApp, а также различные приложения для электронной коммерции и защиты от вредоносных программ для достижения своих вредоносных целей.
Rafel RAT предоставляет этим злоумышленникам надежный набор инструментов для удаленного администрирования и контроля, облегчая различные гнусные действия, такие как кража данных и манипулирование устройствами. Его обширные функции включают в себя очистку SD-карт, удаление журналов вызовов, перехват уведомлений и даже работу в качестве программы-вымогателя.
Оглавление
Rafael RAT был обнаружен в ходе многочисленных атак
Эксперты по кибербезопасности ранее отмечали использование Rafel RAT компанией APT-C-35 (также известной как DoNot Team, Brainworm и Origami Elephant) в атаках, в которых использовался конструктивный недостаток Foxit PDF Reader, чтобы обманом заставить пользователей загружать угрожающие полезные данные. В этой кампании, которая произошла в апреле 2024 года, для доставки вредоносного ПО использовались PDF-приманки военной тематики.
Эксперты выявили около 120 различных вредоносных кампаний, в том числе направленных против известных организаций, в различных странах, таких как Австралия, Китай, Чехия, Франция, Германия, Индия, Индонезия, Италия, Новая Зеландия, Пакистан, Румыния, Россия и США.
Большинство жертв владели телефонами Samsung, за ними следовали пользователи устройств Xiaomi, Vivo и Huawei. Примечательно, что около 87,5% зараженных устройств работали под управлением устаревших версий Android, которые больше не получают обновлений безопасности.
Rafel RAT может скомпрометировать широкий спектр конфиденциальных данных
Типичные цепочки атак включают в себя тактику социальной инженерии, позволяющую обманом заставить жертв предоставить навязчивые разрешения зараженным вредоносным ПО приложениям. Эти разрешения позволяют вредоносному ПО собирать конфиденциальные данные, включая контактную информацию, SMS-сообщения (например, коды 2FA), местоположение, журналы вызовов и списки установленных приложений, а также другие данные.
Rafel RAT в основном использует HTTP(S) для связи в режиме управления и контроля (C2), но также может использовать API-интерфейсы Discord для связи с субъектами угроз. Кроме того, он имеет панель C2 на основе PHP, которую зарегистрированные пользователи могут использовать для подачи команд скомпрометированным устройствам.
Пользователи Android остаются частой мишенью киберпреступников
Эффективность этого инструмента в отношении различных субъектов угроз подтверждается его участием в операции по вымогательству, проведенной злоумышленником, предположительно из Ирана. Злоумышленник отправил SMS с требованием выкупа на арабском языке, призывая жертву в Пакистане связаться с ней через Telegram.
Rafel RAT является примером развивающейся сферы вредоносного ПО для Android, отличающегося дизайном с открытым исходным кодом, широким спектром функций и широким распространением в различных незаконных действиях. Его широкое использование подчеркивает важность постоянной бдительности и превентивных мер безопасности для защиты устройств Android от вредоносного использования.
