Le Rafel RAT cherche à cibler les appareils Android
Les groupes de cyberespionnage et d’autres acteurs malveillants utilisent un outil d’administration à distance Android open source connu sous le nom de Rafel RAT. Déguisé en applications populaires telles qu'Instagram, WhatsApp et diverses applications de commerce électronique et antivirus, Rafel RAT permet à ces acteurs malveillants d'atteindre leurs objectifs en secret.
Table of Contents
Caractéristiques et capacités
Selon une analyse récente de Check Point, Rafel RAT équipe les attaquants d'une boîte à outils robuste pour le contrôle et l'administration à distance. Cet outil puissant permet un large éventail d'activités malveillantes, allant du vol de données et de la manipulation d'appareils jusqu'au rôle de ransomware. Parmi ses fonctionnalités figurent la possibilité d’effacer les cartes SD, de supprimer les journaux d’appels, de siphonner les notifications et d’exécuter des attaques de ransomware.
Campagnes et stratégies d'attaque notables
L'équipe DoNot, également connue sous les noms d'APT-C-35, Brainworm et Origami Elephant, a été identifiée comme utilisateur de Rafel RAT dans ses cyberattaques. En avril 2024, une campagne importante a exploité une vulnérabilité de Foxit PDF Reader, en utilisant des leurres PDF sur le thème militaire pour inciter les utilisateurs à télécharger le logiciel malveillant. Cette campagne s'est étendue à plusieurs pays, ciblant des entités de premier plan dans des pays tels que l'Australie, la Chine, l'Allemagne, l'Inde et les États-Unis.
Appareils cibles et vulnérabilités
Des recherches menées par des sources bien connues comme CheckPoint ont mis en évidence environ 120 campagnes malveillantes impliquant Rafel RAT. La majorité de ces attaques visaient les appareils Samsung, suivis par Xiaomi, Vivo et Huawei. Environ 87,5 % des appareils compromis exécutaient des versions Android obsolètes, dépourvues des derniers correctifs de sécurité.
Techniques d'attaque
Les méthodes d'attaque font souvent appel à des tactiques d'ingénierie sociale, dans lesquelles les victimes sont manipulées pour qu'elles accordent des autorisations intrusives à des applications contenant des logiciels malveillants. Cela permet au malware de récolter des données sensibles telles que des informations de contact, des messages SMS (y compris les codes 2FA), des données de localisation, des journaux d'appels et des listes d'applications installées.
Communications de commande et de contrôle
Rafel RAT utilise principalement HTTP(S) pour ses communications de commande et de contrôle (C2), mais il peut également exploiter les API Discord pour contacter les attaquants. De plus, il est livré avec un panneau C2 basé sur PHP que les utilisateurs enregistrés peuvent utiliser pour émettre des commandes vers des appareils compromis.
Étude de cas : opération de ransomware
Un exemple de l'efficacité de Rafel RAT est son utilisation dans une opération de ransomware par un attaquant probablement iranien. L'attaquant a envoyé une demande de rançon en arabe par SMS, exhortant une victime au Pakistan à la contacter sur Telegram, démontrant ainsi la polyvalence et la portée de l'outil.
Rafel RAT illustre le paysage évolutif des logiciels malveillants Android, caractérisé par sa nature open source, son ensemble étendu de fonctionnalités et son utilisation généralisée dans diverses activités illicites. La prévalence de Rafel RAT souligne l’importance d’une vigilance continue et de mesures de sécurité proactives pour protéger les appareils Android contre toute exploitation malveillante.
