拉斐尔鼠

包括网络间谍组织在内的多个威胁行为者正在使用一种名为 Rafel RAT 的开源 Android 远程管理工具。他们将其伪装成 Instagram、WhatsApp 等流行应用程序以及各种电子商务和反恶意软件应用程序来实现他们的有害目标。

Rafel RAT 为这些攻击者提供了强大的远程管理和控制工具包，方便进行各种恶意活动，例如数据盗窃和设备操纵。其广泛的功能包括擦除 SD 卡、删除通话记录、拦截通知，甚至充当勒索软件。

Rafael RAT 在多次攻击活动中被发现

网络安全专家此前曾强调，APT-C-35 （也称为 DoNot Team、Brainworm 和 Origami Elephant）在攻击中使用 Rafel RAT，利用 Foxit PDF Reader 的设计缺陷诱骗用户下载威胁性负载。该活动发生在 2024 年 4 月，使用军事主题的 PDF 诱饵来传播恶意软件。

专家们已发现大约 120 起不同的恶意活动，其中一些针对知名实体，涉及澳大利亚、中国、捷克、法国、德国、印度、印度尼西亚、意大利、新西兰、巴基斯坦、罗马尼亚、俄罗斯和美国等多个国家

大多数受害者拥有三星手机，其次是小米、Vivo 和华为设备的用户。值得注意的是，约 87.5% 的受感染设备运行的是过时的 Android 版本，不再接收安全更新。

Rafel RAT 可窃取大量敏感数据

典型的攻击链涉及社会工程学策略，诱骗受害者向受恶意软件感染的应用程序授予侵入性权限。这些权限允许恶意软件收集敏感数据，包括联系信息、短信（例如 2FA 代码）、位置、通话记录和已安装应用程序列表等。

Rafel RAT 主要使用 HTTP(S) 进行命令与控制 (C2) 通信，但也可以利用 Discord API 与威胁行为者进行通信。此外，它还具有基于 PHP 的 C2 面板，注册用户可以使用该面板向受感染的设备发出命令。

Android 用户仍然是网络犯罪分子的常见目标

该工具在不同威胁行为者中的有效性已得到验证，因为它参与了一项勒索软件行动，该行动由一名据信来自伊朗的攻击者发起。攻击者通过短信发送了一封阿拉伯语勒索信，敦促巴基斯坦的一名受害者通过 Telegram 联系他们。

Rafel RAT 是 Android 恶意软件不断发展的典型代表，其特点是采用开源设计，功能齐全，并广泛部署于各种非法活动中。它的广泛使用凸显了持续警惕和采取主动安全措施以保护 Android 设备免受有害攻击的重要性。