Rafel CHUỘT
Một số tác nhân đe dọa, bao gồm các nhóm gián điệp mạng, đang sử dụng Công cụ quản trị từ xa Android nguồn mở có tên là Rafel RAT. Họ ngụy trang nó thành các ứng dụng phổ biến như Instagram, WhatsApp cũng như các ứng dụng thương mại điện tử và chống phần mềm độc hại khác nhau để đạt được các mục tiêu có hại của mình.
Rafel RAT cung cấp cho những kẻ này một bộ công cụ mạnh mẽ để quản trị và điều khiển từ xa, tạo điều kiện cho nhiều hoạt động bất chính khác nhau như đánh cắp dữ liệu và thao túng thiết bị. Các tính năng mở rộng của nó bao gồm xóa thẻ SD, xóa nhật ký cuộc gọi, chặn thông báo và thậm chí hoạt động như phần mềm ransomware.
Mục lục
RAT Rafael được phát hiện trong nhiều chiến dịch tấn công
Các chuyên gia an ninh mạng trước đây đã nhấn mạnh việc APT-C-35 (còn được gọi là DoNot Team, Brainworm và Origami Elephant) sử dụng Rafel RAT trong các cuộc tấn công khai thác lỗ hổng thiết kế trong Foxit PDF Reader để đánh lừa người dùng tải xuống các tải trọng đe dọa. Chiến dịch này diễn ra vào tháng 4 năm 2024, đã sử dụng các mồi PDF có chủ đề quân sự để phát tán phần mềm độc hại.
Các chuyên gia đã xác định được khoảng 120 chiến dịch có hại khác nhau, bao gồm một số chiến dịch nhắm mục tiêu vào các tổ chức nổi tiếng, trên nhiều quốc gia khác nhau như Úc, Trung Quốc, Séc, Pháp, Đức, Ấn Độ, Indonesia, Ý, New Zealand, Pakistan, Romania, Nga và Hoa Kỳ.
Phần lớn nạn nhân sở hữu điện thoại Samsung, tiếp theo là người dùng thiết bị Xiaomi, Vivo và Huawei. Đáng chú ý, khoảng 87,5% thiết bị bị nhiễm đang chạy phiên bản Android lỗi thời và không còn nhận được bản cập nhật bảo mật.
Rafel RAT có thể xâm phạm nhiều loại dữ liệu nhạy cảm
Các chuỗi tấn công điển hình liên quan đến các chiến thuật lừa đảo xã hội để lừa nạn nhân cấp quyền xâm nhập cho các ứng dụng bị nhiễm phần mềm độc hại. Các quyền này cho phép phần mềm độc hại thu thập dữ liệu nhạy cảm, bao gồm thông tin liên hệ, tin nhắn SMS (chẳng hạn như mã 2FA), vị trí, nhật ký cuộc gọi và danh sách các ứng dụng đã cài đặt cùng với các dữ liệu khác.
Rafel RAT chủ yếu sử dụng HTTP(S) để liên lạc bằng Lệnh và Kiểm soát (C2) nhưng cũng có thể sử dụng API Discord để liên lạc với các tác nhân đe dọa. Ngoài ra, nó còn có bảng điều khiển C2 dựa trên PHP mà người dùng đã đăng ký có thể sử dụng để ra lệnh cho các thiết bị bị xâm nhập.
Người dùng Android vẫn là mục tiêu thường xuyên của tội phạm mạng
Hiệu quả của công cụ này đối với các tác nhân đe dọa khác nhau được xác thực bằng việc nó tham gia vào hoạt động ransomware do kẻ tấn công được cho là đến từ Iran thực hiện. Kẻ tấn công đã gửi thông báo đòi tiền chuộc bằng tiếng Ả Rập qua SMS, kêu gọi nạn nhân ở Pakistan liên hệ với họ qua Telegram.
Rafel RAT là ví dụ điển hình cho lĩnh vực phần mềm độc hại trên Android đang phát triển, nổi bật nhờ thiết kế nguồn mở, nhiều tính năng toàn diện và khả năng triển khai rộng rãi trong nhiều hoạt động bất hợp pháp khác nhau. Việc sử dụng rộng rãi tính năng này nhấn mạnh tầm quan trọng của việc liên tục cảnh giác và các biện pháp bảo mật chủ động để bảo vệ các thiết bị Android khỏi bị khai thác gây tổn hại.
