ราเฟล หนู

ผู้คุกคามหลายราย รวมถึงกลุ่มจารกรรมทางไซเบอร์ กำลังใช้เครื่องมือการจัดการระยะไกลของ Android แบบโอเพ่นซอร์สที่เรียกว่า Rafel RAT พวกเขาปลอมตัวเป็นแอปพลิเคชันยอดนิยมเช่น Instagram, WhatsApp และแอปพลิเคชันอีคอมเมิร์ซและป้องกันมัลแวร์ต่างๆ เพื่อให้บรรลุเป้าหมายที่เป็นอันตราย

Rafel RAT มอบชุดเครื่องมือที่มีประสิทธิภาพแก่นักแสดงเหล่านี้สำหรับการดูแลระบบและการควบคุมระยะไกล ซึ่งอำนวยความสะดวกในกิจกรรมที่ชั่วร้ายต่างๆ เช่น การขโมยข้อมูลและการจัดการอุปกรณ์ คุณสมบัติที่ครอบคลุมของมันรวมถึงการล้างการ์ด SD การลบบันทึกการโทร การสกัดกั้นการแจ้งเตือนและแม้แต่การทำงานเป็นแรนซัมแวร์

Rafael RAT ถูกตรวจพบในแคมเปญการโจมตีจำนวนมาก

ก่อนหน้านี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เน้นย้ำถึงการใช้ Rafel RAT โดย APT-C-35 (หรือที่รู้จักในชื่อ DoNot Team, Brainworm และ Origami Elephant) ในการโจมตีที่ใช้ประโยชน์จากข้อบกพร่องด้านการออกแบบใน Foxit PDF Reader เพื่อหลอกลวงผู้ใช้ให้ดาวน์โหลดเพย์โหลดที่เป็นอันตราย แคมเปญนี้ซึ่งเกิดขึ้นในเดือนเมษายน พ.ศ. 2567 ใช้ไฟล์ PDF ล่อรูปแบบทหารเพื่อส่งมัลแวร์

ผู้เชี่ยวชาญได้ระบุแคมเปญที่เป็นอันตรายต่างๆ ประมาณ 120 แคมเปญ รวมถึงบางแคมเปญที่กำหนดเป้าหมายไปยังหน่วยงานที่มีชื่อเสียงในประเทศต่างๆ เช่น ออสเตรเลีย จีน เช็กเกีย ฝรั่งเศส เยอรมนี อินเดีย อินโดนีเซีย อิตาลี นิวซีแลนด์ ปากีสถาน โรมาเนีย รัสเซีย และสหรัฐอเมริกา

เหยื่อส่วนใหญ่เป็นเจ้าของโทรศัพท์ Samsung ตามมาด้วยผู้ใช้อุปกรณ์ Xiaomi, Vivo และ Huawei โดยเฉพาะอย่างยิ่ง อุปกรณ์ที่ติดไวรัสประมาณ 87.5% ใช้ Android เวอร์ชันล้าสมัยซึ่งไม่ได้รับการอัปเดตความปลอดภัยอีกต่อไป

Rafel RAT สามารถประนีประนอมกับข้อมูลที่ละเอียดอ่อนได้หลากหลาย

ห่วงโซ่การโจมตีทั่วไปเกี่ยวข้องกับกลยุทธ์วิศวกรรมสังคมเพื่อหลอกเหยื่อให้อนุญาตการล่วงล้ำแก่แอปพลิเคชันที่ติดมัลแวร์ การอนุญาตเหล่านี้อนุญาตให้มัลแวร์รวบรวมข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลติดต่อ ข้อความ SMS (เช่น รหัส 2FA) ตำแหน่ง บันทึกการโทร และรายการแอปพลิเคชันที่ติดตั้งรวมถึงข้อมูลอื่น ๆ

Rafel RAT ใช้ HTTP(S) สำหรับการสื่อสาร Command-and-Control (C2) เป็นหลัก แต่ยังสามารถใช้ Discord API เพื่อสื่อสารกับผู้คุกคามได้ นอกจากนี้ยังมีแผง C2 ที่ใช้ PHP ซึ่งผู้ใช้ที่ลงทะเบียนสามารถใช้เพื่อออกคำสั่งไปยังอุปกรณ์ที่ถูกบุกรุกได้

ผู้ใช้ Android ยังคงเป็นเป้าหมายของอาชญากรไซเบอร์อยู่บ่อยครั้ง

ประสิทธิภาพของเครื่องมือกับผู้ก่อภัยคุกคามต่างๆ ได้รับการตรวจสอบโดยการมีส่วนร่วมในการดำเนินการของแรนซัมแวร์ที่ดำเนินการโดยผู้โจมตีที่เชื่อว่ามาจากอิหร่าน ผู้โจมตีส่งข้อความเรียกค่าไถ่เป็นภาษาอาหรับทาง SMS เพื่อกระตุ้นให้เหยื่อในปากีสถานติดต่อพวกเขาผ่านทาง Telegram

Rafel RAT เป็นตัวอย่างขอบเขตการพัฒนาของมัลแวร์ Android โดยโดดเด่นด้วยการออกแบบโอเพ่นซอร์ส คุณลักษณะที่ครอบคลุม และการใช้งานที่ครอบคลุมในกิจกรรมที่ผิดกฎหมายต่างๆ การใช้งานอย่างแพร่หลายตอกย้ำถึงความสำคัญของการเฝ้าระวังอย่างต่อเนื่องและมาตรการรักษาความปลอดภัยเชิงรุกเพื่อปกป้องอุปกรณ์ Android จากการแสวงหาผลประโยชน์ที่เป็นอันตราย