拉斐爾·拉特

包括網路間諜組織在內的多個威脅參與者正在利用名為 Rafel RAT 的開源 Android 遠端管理工具。他們將其偽裝成 Instagram、WhatsApp 等流行應用程式以及各種電子商務和反惡意軟體應用程序，以實現其有害目標。

Rafel RAT 為這些參與者提供了強大的遠端管理和控制工具包，促進了資料竊取和設備操縱等各種邪惡活動。其廣泛的功能包括擦除 SD 卡、刪除通話記錄、攔截通知，甚至充當勒索軟體。

Rafael RAT 在眾多攻擊活動中被發現

網路安全專家先前曾強調，APT-C-35 （也稱為 DoNot Team、Brainworm 和 Origami Elephant）在利用 Foxit PDF Reader 中的設計缺陷欺騙用戶下載威脅有效負載的攻擊中使用 Rafel RAT。該活動發生於 2024 年 4 月，使用軍事主題的 PDF 誘餌來傳播惡意軟體。

專家們已發現澳大利亞、中國、捷克、法國、德國、印度、印尼、義大利、紐西蘭、巴基斯坦、羅馬尼亞、俄羅斯和美國等國家的大約 120 種不同的有害活動，其中一些活動針對知名實體

大多數受害者擁有三星手機，其次是小米、Vivo 和華為設備的用戶。值得注意的是，大約 87.5% 的受感染裝置運行的是過時的 Android 版本，不再接收安全性更新。

Rafel RAT 可能會洩露廣泛的敏感數據

典型的攻擊鏈涉及社會工程策略，以欺騙受害者向受惡意軟體感染的應用程式授予侵入權限。這些權限允許惡意軟體收集敏感數據，包括聯絡資訊、簡訊（例如 2FA 代碼）、位置、通話記錄、已安裝應用程式清單以及其他數據。

Rafel RAT 主要使用 HTTP(S) 進行命令與控制 (C2) 通信，但也可以利用 Discord API 與威脅參與者進行通信。此外，它還具有基於 PHP 的 C2 面板，註冊用戶可以使用該面板向受感染的裝置發出命令。

Android 用戶仍然是網路犯罪分子的常見目標

該工具在不同威脅參與者中的有效性透過其參與據信來自伊朗的攻擊者實施的勒索軟體操作得到了驗證。攻擊者透過簡訊用阿拉伯語發送了勒索信，敦促巴基斯坦的受害者透過 Telegram 與他們聯繫。

Rafel RAT 體現了 Android 惡意軟體不斷發展的領域，其特點是開源設計、全面的功能以及在各種非法活動中的廣泛部署。它的廣泛使用強調了持續保持警惕和主動採取安全措施以保護 Android 設備免受有害利用的重要性。