Rafel RAT
Disa aktorë kërcënimi, duke përfshirë grupet e spiunazhit kibernetik, po përdorin një mjet të administrimit në distancë Android me burim të hapur të njohur si Rafel RAT. Ata e maskojnë atë si aplikacione të njohura si Instagram, WhatsApp dhe aplikacione të ndryshme të tregtisë elektronike dhe anti-malware për të arritur qëllimet e tyre të dëmshme.
Rafel RAT u siguron këtyre aktorëve një paketë mjetesh të fuqishme për administrimin dhe kontrollin në distancë, duke lehtësuar aktivitete të ndryshme të mbrapshta si vjedhja e të dhënave dhe manipulimi i pajisjes. Karakteristikat e tij të gjera përfshijnë fshirjen e kartave SD, fshirjen e regjistrave të thirrjeve, përgjimin e njoftimeve dhe madje funksionimin si ransomware.
Tabela e Përmbajtjes
Rafael RAT u zbulua në fushata të shumta sulmesh
Ekspertët e sigurisë kibernetike kanë theksuar më parë përdorimin e Rafel RAT nga APT-C-35 (i njohur gjithashtu si DoNot Team, Brainworm dhe Origami Elephant) në sulme që shfrytëzuan një të metë dizajni në Foxit PDF Reader për të mashtruar përdoruesit për të shkarkuar ngarkesa kërcënuese. Kjo fushatë, e cila ndodhi në prill 2024, përdori joshje PDF me temë ushtarake për të ofruar malware.
Ekspertët kanë identifikuar rreth 120 fushata të ndryshme të dëmshme, duke përfshirë disa që synojnë entitete të profilit të lartë, në vende të ndryshme si Australia, Kina, Çekia, Franca, Gjermania, India, Indonezia, Italia, Zelanda e Re, Pakistani, Rumania, Rusia dhe SHBA.
Shumica e viktimave zotëronin telefona Samsung, të ndjekur nga përdoruesit e pajisjeve Xiaomi, Vivo dhe Huawei. Veçanërisht, rreth 87.5% e pajisjeve të infektuara përdornin versione të vjetruara Android që nuk marrin më përditësime sigurie.
Rafel RAT mund të komprometojë një gamë të gjerë të dhënash të ndjeshme
Zinxhirët tipikë të sulmeve përfshijnë taktika të inxhinierisë sociale për të mashtruar viktimat në dhënien e lejeve ndërhyrëse për aplikacionet e infektuara me malware. Këto leje lejojnë që malware të mbledhë të dhëna të ndjeshme, duke përfshirë informacionin e kontaktit, mesazhet SMS (të tilla si kodet 2FA), vendndodhjen, regjistrat e thirrjeve dhe listat e aplikacioneve të instaluara midis të dhënave të tjera.
Rafel RAT përdor kryesisht HTTP(S) për komunikimet Command-and-Control (C2), por gjithashtu mund të përdorë API-të Discord për të komunikuar me aktorët e kërcënimit. Për më tepër, ai përmban një panel C2 të bazuar në PHP që përdoruesit e regjistruar mund ta përdorin për të lëshuar komanda për pajisjet e komprometuara.
Përdoruesit e Android mbeten një objektiv i shpeshtë i kriminelëve kibernetikë
Efikasiteti i mjetit ndërmjet aktorëve të ndryshëm të kërcënimit vërtetohet nga përfshirja e tij në një operacion ransomware të kryer nga një sulmues që besohet të jetë nga Irani. Sulmuesi dërgoi një shënim shpërblimi në arabisht përmes SMS, duke i kërkuar një viktimë në Pakistan që të kontaktonte me të përmes Telegramit.
Rafel RAT ilustron sferën në zhvillim të malware Android, i dalluar nga dizajni i tij me burim të hapur, gamën gjithëpërfshirëse të veçorive dhe vendosjen e gjerë në aktivitete të ndryshme të paligjshme. Përdorimi i gjerë i tij nënvizon rëndësinë e vigjilencës së vazhdueshme dhe masave proaktive të sigurisë për të mbrojtur pajisjet Android nga shfrytëzimi i dëmshëm.
