Rafel RAT
Več akterjev groženj, vključno s skupinami za kibernetsko vohunjenje, uporablja odprtokodno orodje za oddaljeno administracijo Android, znano kot Rafel RAT. Prikrijejo ga v priljubljene aplikacije, kot so Instagram, WhatsApp in različne aplikacije za e-trgovino in proti zlonamerni programski opremi, da bi dosegli svoje škodljive cilje.
Rafel RAT tem akterjem zagotavlja robusten nabor orodij za oddaljeno administracijo in nadzor, ki omogoča različne nečedne dejavnosti, kot sta kraja podatkov in manipulacija z napravami. Njegove obsežne funkcije vključujejo brisanje kartic SD, brisanje dnevnikov klicev, prestrezanje obvestil in celo delovanje kot izsiljevalska programska oprema.
Kazalo
Rafael RAT je bil odkrit v številnih napadalnih akcijah
Strokovnjaki za kibernetsko varnost so že izpostavili uporabo Rafel RAT s strani APT-C-35 (znanega tudi kot DoNot Team, Brainworm in Origami Elephant) v napadih, ki so izkoriščali oblikovno napako v Foxit PDF Readerju, da bi zavedli uporabnike v prenos nevarnih koristnih vsebin. Ta kampanja, ki se je zgodila aprila 2024, je za dostavo zlonamerne programske opreme uporabila vabe PDF z vojaško tematiko.
Strokovnjaki so v različnih državah, kot so Avstralija, Kitajska, Češka, Francija, Nemčija, Indija, Indonezija, Italija, Nova Zelandija, Pakistan, Romunija, Rusija in ZDA, odkrili približno 120 različnih škodljivih kampanj, vključno z nekaterimi, ki ciljajo na odmevne subjekte.
Največ žrtev je imelo telefone Samsung, sledijo uporabniki naprav Xiaomi, Vivo in Huawei. Približno 87,5 % okuženih naprav je uporabljalo zastarele različice Androida, ki ne prejemajo več varnostnih posodobitev.
Rafel RAT lahko ogrozi širok nabor občutljivih podatkov
Običajne verige napadov vključujejo taktike socialnega inženiringa, da žrtve pretentajo, da podelijo vsiljiva dovoljenja aplikacijam, okuženim z zlonamerno programsko opremo. Ta dovoljenja omogočajo zlonamerni programski opremi zbiranje občutljivih podatkov, vključno s kontaktnimi podatki, sporočili SMS (kot so kode 2FA), lokacijo, dnevniki klicev in seznami nameščenih aplikacij med drugimi podatki.
Rafel RAT primarno uporablja HTTP(S) za komunikacije ukazov in nadzora (C2), lahko pa uporablja tudi API-je Discord za komunikacijo z akterji groženj. Poleg tega ima ploščo C2, ki temelji na PHP, ki jo lahko registrirani uporabniki uporabljajo za izdajanje ukazov ogroženim napravam.
Uporabniki Androida ostajajo pogosta tarča kibernetskih kriminalcev
Učinkovitost orodja pri različnih akterjih groženj je potrjena z njegovo vpletenostjo v operacijo izsiljevalske programske opreme, ki jo izvaja napadalec, za katerega se domneva, da je iz Irana. Napadalec je prek sporočila SMS poslal sporočilo o odkupnini v arabščini in pozval žrtev v Pakistanu, naj jih kontaktira prek Telegrama.
Rafel RAT ponazarja razvijajoče se kraljestvo zlonamerne programske opreme Android, ki jo odlikuje odprtokodna zasnova, obsežen nabor funkcij in obsežna uporaba v različnih nedovoljenih dejavnostih. Njegova široka uporaba poudarja pomen stalne budnosti in proaktivnih varnostnih ukrepov za zaščito naprav Android pred škodljivim izkoriščanjem.
