Рафель ЩУР
Декілька загроз, зокрема групи кібершпигунства, використовують інструмент віддаленого адміністрування Android із відкритим кодом, відомий як Rafel RAT. Вони маскують його під такі популярні програми, як Instagram, WhatsApp, а також різні програми електронної комерції та програми для захисту від зловмисного програмного забезпечення для досягнення своїх шкідливих цілей.
Rafel RAT надає цим акторам надійний набір інструментів для віддаленого адміністрування та контролю, сприяючи різноманітним нечесним діям, таким як крадіжка даних і маніпулювання пристроями. Його численні функції включають стирання SD-карт, видалення журналів викликів, перехоплення сповіщень і навіть функціонування як програми-вимагачі.
Зміст
Rafael RAT був виявлений у численних атаках
Експерти з кібербезпеки раніше підкреслювали використання Rafel RAT компанією APT-C-35 (також відомий як DoNot Team, Brainworm і Origami Elephant) в атаках, які використовували недолік дизайну в Foxit PDF Reader, щоб ввести в оману користувачів для завантаження загрозливих корисних даних. У цій кампанії, що відбулася в квітні 2024 року, використовувалися PDF-приманки військової тематики для доставки зловмисного програмного забезпечення.
Експерти виявили близько 120 різних шкідливих кампаній, у тому числі націлених на високопоставлені організації, у різних країнах, таких як Австралія, Китай, Чехія, Франція, Німеччина, Індія, Індонезія, Італія, Нова Зеландія, Пакистан, Румунія, Росія та США
Більшість жертв володіли телефонами Samsung, за ними йдуть користувачі пристроїв Xiaomi, Vivo і Huawei. Примітно, що близько 87,5% заражених пристроїв працювали на застарілих версіях Android, які більше не отримують оновлення безпеки.
Rafel RAT може скомпрометувати широкий спектр конфіденційних даних
Типові ланцюжки атак включають тактику соціальної інженерії, щоб обманом змусити жертв надати інтрузивні дозволи зараженим шкідливим програмним забезпеченням програмам. Ці дозволи дозволяють зловмисному програмному забезпеченню збирати конфіденційні дані, включаючи контактну інформацію, SMS-повідомлення (наприклад, коди 2FA), місцезнаходження, журнали викликів і списки встановлених програм серед інших даних.
Rafel RAT в основному використовує HTTP(S) для зв’язку командування та управління (C2), але також може використовувати API Discord для зв’язку зі загрозливими суб’єктами. Крім того, він містить панель C2 на основі PHP, яку зареєстровані користувачі можуть використовувати для видачі команд зламаним пристроям.
Користувачі Android залишаються частою мішенню для кіберзлочинців
Ефективність інструменту проти різних загроз підтверджено його залученістю до операції з програмами-вимагачами, яку проводить зловмисник, який, імовірно, походить з Ірану. Зловмисник надіслав повідомлення про викуп арабською мовою через SMS, закликаючи жертву в Пакистані зв’язатися з ними через Telegram.
Rafel RAT є прикладом розвитку зловмисного програмного забезпечення для Android, що вирізняється дизайном з відкритим вихідним кодом, широким набором функцій і широким розгортанням у різних незаконних діях. Його широке використання підкреслює важливість постійної пильності та профілактичних заходів безпеки для захисту пристроїв Android від шкідливого використання.
