Der Rafel RAT zielt auf Android-Geräte ab
Cyber-Spionagegruppen und andere Bedrohungsakteure nutzen ein Open-Source-Tool zur Fernverwaltung von Android namens Rafel RAT. Getarnt als beliebte Anwendungen wie Instagram, WhatsApp und verschiedene E-Commerce- und Antiviren-Apps ermöglicht Rafel RAT diesen böswilligen Akteuren, ihre Ziele im Verborgenen zu erreichen.
Table of Contents
Funktionen und Fähigkeiten
Einer aktuellen Analyse von Check Point zufolge stattet Rafel RAT Angreifer mit einem robusten Toolkit für Fernsteuerung und -verwaltung aus. Dieses leistungsstarke Tool ermöglicht eine breite Palette bösartiger Aktivitäten, von Datendiebstahl und Gerätemanipulation bis hin zum Einsatz als Ransomware. Zu seinen Funktionen gehören die Möglichkeit, SD-Karten zu löschen, Anrufprotokolle zu löschen, Benachrichtigungen abzugreifen und Ransomware-Angriffe auszuführen.
Bemerkenswerte Kampagnen und Angriffsstrategien
Das DoNot Team, auch bekannt als APT-C-35, Brainworm und Origami Elephant, wurde bei seinen Cyberangriffen als Benutzer von Rafel RAT identifiziert. Eine bedeutende Kampagne im April 2024 nutzte eine Schwachstelle in Foxit PDF Reader aus und verwendete PDF-Köder mit militärischem Thema, um Benutzer zum Herunterladen der Malware zu verleiten. Diese Kampagne erstreckte sich über mehrere Länder und zielte auf hochrangige Unternehmen in Ländern wie Australien, China, Deutschland, Indien und den Vereinigten Staaten ab.
Zielgeräte und Schwachstellen
Untersuchungen bekannter Quellen wie CheckPoint haben etwa 120 bösartige Kampagnen mit Rafel RAT aufgedeckt. Die meisten dieser Angriffe zielten auf Samsung-Geräte ab, gefolgt von Xiaomi, Vivo und Huawei. Besorgniserregende 87,5 % der kompromittierten Geräte liefen mit veralteten Android-Versionen, denen die neuesten Sicherheitsfixes fehlten.
Angriffstechniken
Die Angriffsmethoden beinhalten häufig Social-Engineering-Taktiken, bei denen die Opfer dazu manipuliert werden, mit Malware infizierten Apps aufdringliche Berechtigungen zu erteilen. Auf diese Weise kann die Malware vertrauliche Daten wie Kontaktinformationen, SMS-Nachrichten (einschließlich 2FA-Codes), Standortdaten, Anrufprotokolle und Listen installierter Anwendungen sammeln.
Befehls- und Kontrollkommunikation
Rafel RAT verwendet hauptsächlich HTTP(S) für seine Command-and-Control-Kommunikation (C2), kann aber auch Discord-APIs nutzen, um mit den Angreifern Kontakt aufzunehmen. Darüber hinaus verfügt es über ein PHP-basiertes C2-Panel, über das registrierte Benutzer Befehle an kompromittierte Geräte senden können.
Fallstudie: Ransomware-Operation
Ein Beispiel für die Wirksamkeit von Rafel RAT ist sein Einsatz bei einer Ransomware-Operation durch einen vermutlich aus dem Iran stammenden Angreifer. Der Angreifer schickte per SMS eine Lösegeldforderung auf Arabisch und forderte ein Opfer in Pakistan auf, ihn über Telegram zu kontaktieren. Dies demonstrierte die Vielseitigkeit und Reichweite des Tools.
Rafel RAT ist ein Beispiel für die sich entwickelnde Landschaft der Android-Malware. Sie zeichnet sich durch ihren Open-Source-Charakter, ihren umfangreichen Funktionsumfang und ihre weitverbreitete Verwendung für verschiedene illegale Aktivitäten aus. Die Verbreitung von Rafel RAT unterstreicht die Bedeutung ständiger Wachsamkeit und proaktiver Sicherheitsmaßnahmen zum Schutz von Android-Geräten vor böswilliger Ausnutzung.
