Rafel RAT søger at målrette mod Android-enheder
Cyberspionagegrupper og andre trusselsaktører bruger et open source Android-fjernadministrationsværktøj kendt som Rafel RAT. Forklædt som populære applikationer såsom Instagram, WhatsApp og forskellige e-handels- og antivirus-apps, gør Rafel RAT det muligt for disse ondsindede aktører at nå deres mål i det skjulte.
Table of Contents
Funktioner og muligheder
Ifølge en nylig analyse fra Check Point udstyrer Rafel RAT angribere med et robust værktøjssæt til fjernstyring og administration. Dette kraftfulde værktøj giver mulighed for en bred vifte af ondsindede aktiviteter, lige fra datatyveri og enhedsmanipulation til at fungere som ransomware. Blandt dets funktioner er evnen til at slette SD-kort, slette opkaldslogger, sifon-meddelelser og udføre ransomware-angreb.
Bemærkelsesværdige kampagner og angrebsstrategier
DoNot Teamet, også kendt som APT-C-35, Brainworm og Origami Elephant, er blevet identificeret som en bruger af Rafel RAT i deres cyberangreb. En betydelig kampagne i april 2024 udnyttede en sårbarhed i Foxit PDF Reader, ved at bruge militær-tema PDF-lokker til at narre brugere til at downloade malwaren. Denne kampagne spændte over adskillige lande og målrettede højt profilerede enheder i nationer som Australien, Kina, Tyskland, Indien og USA.
Målenheder og sårbarheder
Forskning fra velkendte kilder som CheckPoint har fremhævet cirka 120 ondsindede kampagner, der involverer Rafel RAT. Størstedelen af disse angreb var rettet mod Samsung-enheder, efterfulgt af Xiaomi, Vivo og Huawei. Omkring 87,5 % af de kompromitterede enheder kørte forældede Android-versioner, der manglede de seneste sikkerhedsrettelser.
Angrebsteknikker
Angrebsmetoderne involverer ofte social engineering-taktik, hvor ofre manipuleres til at give påtrængende tilladelser til malware-baserede apps. Dette gør det muligt for malwaren at indsamle følsomme data såsom kontaktoplysninger, SMS-beskeder (inklusive 2FA-koder), placeringsdata, opkaldslogger og lister over installerede applikationer.
Kommando-og-kontrol kommunikation
Rafel RAT bruger primært HTTP(S) til sin kommando-og-kontrol-kommunikation (C2), men den kan også udnytte Discord API'er til at kontakte angriberne. Derudover kommer den med et PHP-baseret C2-panel, som registrerede brugere kan bruge til at udstede kommandoer til kompromitterede enheder.
Case Study: Ransomware Operation
Et eksempel på Rafel RATs effektivitet er dens brug i en ransomware-operation af en angriber, der sandsynligvis kommer fra Iran. Angriberen sendte en løsesumseddel på arabisk via SMS, hvor han opfordrede et offer i Pakistan til at kontakte dem på Telegram, hvilket viste værktøjets alsidighed og rækkevidde.
Rafel RAT eksemplificerer udviklingen af Android-malware, karakteriseret ved dens open source-natur, omfattende funktionssæt og udbredte brug i forskellige ulovlige aktiviteter. Udbredelsen af Rafel RAT understreger vigtigheden af kontinuerlig årvågenhed og proaktive sikkerhedsforanstaltninger for at beskytte Android-enheder mod ondsindet udnyttelse.
