Rafel DAGA
Ang ilang mga aktor ng pagbabanta, kabilang ang mga cyber espionage group, ay gumagamit ng isang open-source na Android Remote Administration Tool na kilala bilang Rafel RAT. Itinatago nila ito bilang mga sikat na application tulad ng Instagram, WhatsApp, at iba't ibang e-commerce at anti-malware application upang makamit ang kanilang mga nakakapinsalang layunin.
Ang Rafel RAT ay nagbibigay sa mga aktor na ito ng isang matibay na toolkit para sa malayuang pangangasiwa at kontrol, na nagpapadali sa iba't ibang masasamang aktibidad tulad ng pagnanakaw ng data at pagmamanipula ng device. Kasama sa mga malawak na tampok nito ang pagpupunas ng mga SD card, pagtanggal ng mga log ng tawag, pagharang ng mga notification at maging ang paggana bilang ransomware.
Talaan ng mga Nilalaman
Ang Rafael RAT ay Nakita sa Maraming Mga Kampanya ng Pag-atake
Dati nang binigyang-diin ng mga eksperto sa cybersecurity ang paggamit ng Rafel RAT ng APT-C-35 (kilala rin bilang DoNot Team, Brainworm, at Origami Elephant) sa mga pag-atake na pinagsamantalahan ang isang depekto sa disenyo sa Foxit PDF Reader upang linlangin ang mga user sa pag-download ng mga nagbabantang kargamento. Ang campaign na ito, na naganap noong Abril 2024, ay gumamit ng mga pang-akit na PDF na may temang militar para ihatid ang malware.
Natukoy ng mga eksperto ang humigit-kumulang 120 iba't ibang mapaminsalang kampanya, kabilang ang ilang pagta-target ng mga high-profile na entity, sa iba't ibang bansa gaya ng Australia, China, Czechia, France, Germany, India, Indonesia, Italy, New Zealand, Pakistan, Romania, Russia at US
Ang karamihan ng mga biktima ay nagmamay-ari ng mga Samsung phone, na sinusundan ng mga gumagamit ng Xiaomi, Vivo, at Huawei device. Kapansin-pansin, humigit-kumulang 87.5% ng mga nahawaang device ay nagpapatakbo ng mga lumang bersyon ng Android na hindi na nakakatanggap ng mga update sa seguridad.
Maaaring Ikompromiso ng Rafel RAT ang isang Malawak na Saklaw ng Sensitibong Data
Kasama sa mga karaniwang attack chain ang mga taktika ng social engineering para linlangin ang mga biktima sa pagbibigay ng mga mapanghimasok na pahintulot sa mga application na nahawaan ng malware. Ang mga pahintulot na ito ay nagbibigay-daan sa malware na mangalap ng sensitibong data, kabilang ang impormasyon sa pakikipag-ugnayan, mga mensaheng SMS (tulad ng mga 2FA code), lokasyon, mga log ng tawag, at mga listahan ng mga naka-install na application bukod sa iba pang data.
Pangunahing ginagamit ng Rafel RAT ang HTTP(S) para sa Command-and-Control (C2) na mga komunikasyon ngunit maaari ding gumamit ng Discord API upang makipag-ugnayan sa mga aktor ng pagbabanta. Bukod pa rito, nagtatampok ito ng PHP-based na C2 panel na magagamit ng mga rehistradong user para mag-isyu ng mga command sa mga nakompromisong device.
Ang Mga User ng Android ay Nananatiling Isang Madalas na Target ng mga Cybercriminal
Ang pagiging epektibo ng tool sa iba't ibang banta ng aktor ay napatunayan sa pamamagitan ng paglahok nito sa isang operasyon ng ransomware na isinagawa ng isang umaatake na pinaniniwalaang mula sa Iran. Nagpadala ang attacker ng ransom note sa Arabic sa pamamagitan ng SMS, na hinihimok ang isang biktima sa Pakistan na makipag-ugnayan sa kanila sa pamamagitan ng Telegram.
Ang Rafel RAT ay nagpapakita ng umuusbong na larangan ng Android malware, na nakikilala sa pamamagitan ng open-source na disenyo nito, komprehensibong hanay ng mga feature, at malawak na pag-deploy sa iba't ibang mga ipinagbabawal na aktibidad. Binibigyang-diin ng malawakang paggamit nito ang kahalagahan ng patuloy na pagbabantay at mga hakbang sa seguridad para maprotektahan ang mga Android device mula sa masasakit na pagsasamantala.
