Rafel RAT
Niekoľko aktérov hrozieb, vrátane skupín kybernetickej špionáže, využíva open source Android Remote Administration Tool známy ako Rafel RAT. Na dosiahnutie svojich škodlivých cieľov to maskujú ako populárne aplikácie, ako je Instagram, WhatsApp a rôzne aplikácie elektronického obchodu a antimalvéru.
Rafel RAT poskytuje týmto aktérom robustnú súpravu nástrojov na vzdialenú správu a kontrolu, ktorá uľahčuje rôzne nekalé činnosti, ako je krádež údajov a manipulácia so zariadeniami. Medzi jeho rozsiahle funkcie patrí vymazanie SD kariet, vymazanie protokolov hovorov, zachytenie upozornení a dokonca fungovanie ako ransomvér.
Obsah
Rafael RAT bol zistený v mnohých útočných kampaniach
Experti na kybernetickú bezpečnosť už skôr zdôraznili použitie Rafel RAT zo strany APT-C-35 (tiež známeho ako DoNot Team, Brainworm a Origami Elephant) pri útokoch, ktoré využili konštrukčnú chybu v programe Foxit PDF Reader na oklamanie používateľov pri sťahovaní hrozivých užitočných dát. Táto kampaň, ktorá sa odohrala v apríli 2024, používala na doručenie malvéru návnady PDF s vojenskou tematikou.
Odborníci identifikovali približne 120 rôznych škodlivých kampaní, vrátane niektorých zameraných na vysoko postavené subjekty, v rôznych krajinách, ako je Austrália, Čína, Česko, Francúzsko, Nemecko, India, Indonézia, Taliansko, Nový Zéland, Pakistan, Rumunsko, Rusko a USA.
Väčšina obetí vlastnila telefóny Samsung, nasledovali používatelia zariadení Xiaomi, Vivo a Huawei. Je pozoruhodné, že približne 87,5 % infikovaných zariadení používalo zastarané verzie systému Android, ktoré už nedostávajú bezpečnostné aktualizácie.
Rafel RAT môže kompromitovať široký rozsah citlivých údajov
Typické reťazce útokov zahŕňajú taktiku sociálneho inžinierstva, aby oklamali obete, aby udelili rušivé povolenia aplikáciám infikovaným malvérom. Tieto povolenia umožňujú malvéru okrem iných údajov zhromažďovať citlivé údaje vrátane kontaktných informácií, správ SMS (ako sú kódy 2FA), polohy, denníkov hovorov a zoznamov nainštalovaných aplikácií.
Rafel RAT primárne používa HTTP(S) na komunikáciu Command-and-Control (C2), ale môže tiež využívať Discord API na komunikáciu s aktérmi hrozby. Okrem toho obsahuje panel C2 založený na PHP, ktorý môžu registrovaní používatelia použiť na zadávanie príkazov ohrozeným zariadeniam.
Používatelia Androidu zostávajú častým cieľom kyberzločincov
Účinnosť nástroja naprieč rôznymi aktérmi hrozieb je overená jeho zapojením do operácie ransomvéru, ktorú viedol útočník, o ktorom sa predpokladá, že pochádza z Iránu. Útočník poslal cez SMS správu o výkupnom v arabčine a vyzval obeť v Pakistane, aby ju kontaktovala prostredníctvom telegramu.
Rafel RAT je príkladom vyvíjajúcej sa oblasti Android malvéru, ktorý sa vyznačuje dizajnom s otvoreným zdrojom, komplexným rozsahom funkcií a rozsiahlym nasadením v rôznych nezákonných činnostiach. Jeho rozšírené používanie podčiarkuje dôležitosť neustálej ostražitosti a proaktívnych bezpečnostných opatrení na ochranu zariadení Android pred škodlivým zneužívaním.
