Rafel RAT
Flera hotaktörer, inklusive cyberspionagegrupper, använder ett Android Remote Administration Tool med öppen källkod som kallas Rafel RAT. De maskerar det som populära applikationer som Instagram, WhatsApp och olika e-handels- och anti-malware-applikationer för att uppnå sina skadliga mål.
Rafel RAT förser dessa aktörer med en robust verktygslåda för fjärradministration och kontroll, vilket underlättar olika otrevliga aktiviteter såsom datastöld och enhetsmanipulation. Dess omfattande funktioner inkluderar att torka SD-kort, radera samtalsloggar, avlyssna aviseringar och till och med fungera som ransomware.
Innehållsförteckning
Rafael RAT upptäcktes i många attackkampanjer
Cybersäkerhetsexperter har tidigare lyft fram användningen av Rafel RAT av APT-C-35 (även känd som DoNot Team, Brainworm och Origami Elephant) i attacker som utnyttjade ett designfel i Foxit PDF Reader för att lura användare att ladda ner hotfulla nyttolaster. Den här kampanjen, som inträffade i april 2024, använde PDF-beten med militärtema för att leverera skadlig programvara.
Experter har identifierat cirka 120 olika skadliga kampanjer, inklusive några inriktade på högprofilerade enheter, i olika länder som Australien, Kina, Tjeckien, Frankrike, Tyskland, Indien, Indonesien, Italien, Nya Zeeland, Pakistan, Rumänien, Ryssland och USA
Majoriteten av offren ägde Samsung-telefoner, följt av användare av Xiaomi-, Vivo- och Huawei-enheter. Noterbart var att cirka 87,5 % av de infekterade enheterna körde föråldrade Android-versioner som inte längre får säkerhetsuppdateringar.
Rafel RAT kan äventyra ett brett utbud av känsliga data
Typiska attackkedjor involverar social ingenjörstaktik för att lura offer att ge påträngande behörigheter till skadlig programvara infekterade applikationer. Dessa behörigheter tillåter skadlig programvara att samla in känslig data, inklusive kontaktinformation, SMS-meddelanden (som 2FA-koder), plats, samtalsloggar och listor över installerade applikationer bland annat.
Rafel RAT använder primärt HTTP(S) för Command-and-Control (C2) kommunikation men kan också använda Discord API:er för att kommunicera med hotaktörer. Dessutom har den en PHP-baserad C2-panel som registrerade användare kan använda för att utfärda kommandon till komprometterade enheter.
Android-användare förblir ett frekvent mål för cyberkriminella
Verktygets effektivitet över olika hotaktörer valideras av dess inblandning i en ransomware-operation som utförs av en angripare som tros vara från Iran. Angriparen skickade ett lösenbrev på arabiska via SMS och uppmanade ett offer i Pakistan att kontakta dem via Telegram.
Rafel RAT exemplifierar utvecklingen av skadlig programvara för Android, kännetecknad av dess design med öppen källkod, omfattande utbud av funktioner och omfattande användning i olika olagliga aktiviteter. Dess utbredda användning understryker vikten av pågående vaksamhet och proaktiva säkerhetsåtgärder för att skydda Android-enheter från skadlig exploatering.
