A Rafel RAT Android-eszközöket kíván megcélozni
A kiberkémkedési csoportok és más fenyegetések szereplői a Rafel RAT néven ismert nyílt forráskódú Android távoli adminisztrációs eszközt használnak. Az olyan népszerű alkalmazásoknak álcázott Rafel RAT, mint az Instagram, a WhatsApp, valamint a különféle e-kereskedelmi és víruskereső alkalmazások, lehetővé teszi ezeknek a rosszindulatú szereplőknek, hogy rejtetten elérjék céljaikat.
Table of Contents
Jellemzők és képességek
A Check Point legutóbbi elemzése szerint a Rafel RAT robusztus eszközkészlettel látja el a támadókat a távvezérléshez és adminisztrációhoz. Ez a hatékony eszköz a rosszindulatú tevékenységek széles skáláját teszi lehetővé, az adatlopástól és az eszközmanipulációtól a zsarolóprogramként való működésig. Funkciói között szerepel az SD-kártyák törlése, a hívásnaplók törlése, a szifonértesítések és a ransomware támadások végrehajtása.
Figyelemre méltó kampányok és támadási stratégiák
A DoNot Team, más néven APT-C-35, Brainworm és Origami Elephant a Rafel RAT felhasználójaként azonosították kibertámadásai során. 2024 áprilisában egy jelentős kampány kihasználta a Foxit PDF Reader sebezhetőségét, katonai témájú PDF csalogatókkal, hogy rávegyék a felhasználókat a rosszindulatú programok letöltésére. Ez a kampány több országra kiterjedt, és olyan országok kiemelt szereplőit célozta meg, mint Ausztrália, Kína, Németország, India és az Egyesült Államok.
Céleszközök és sebezhetőségek
A jól ismert források, például a CheckPoint kutatása körülbelül 120 rosszindulatú kampányt mutatott ki Rafel RAT-tal. A támadások többsége a Samsung készülékeit célozta, ezt követi a Xiaomi, a Vivo és a Huawei. A feltört eszközök körülbelül 87,5%-a elavult Android-verziót futtatott, amelyből hiányoztak a legújabb biztonsági javítások.
Támadási technikák
A támadási módszerek gyakran tartalmaznak szociális tervezési taktikákat, amelyek során az áldozatokat úgy manipulálják, hogy tolakodó engedélyeket adjanak a rosszindulatú programokkal ellátott alkalmazásoknak. Ez lehetővé teszi, hogy a rosszindulatú program olyan érzékeny adatokat gyűjtsön be, mint a kapcsolatfelvételi adatok, SMS-üzenetek (beleértve a 2FA kódokat), helyadatok, hívásnaplók és a telepített alkalmazások listája.
Parancs és vezérlés kommunikáció
A Rafel RAT elsősorban a HTTP(S)-t használja parancs- és vezérlési (C2) kommunikációjához, de a Discord API-k segítségével is felveszi a kapcsolatot a támadókkal. Ezenkívül egy PHP-alapú C2 panellel érkezik, amelyet a regisztrált felhasználók használhatnak parancsok kiadására a feltört eszközöknek.
Esettanulmány: Ransomware működés
A Rafel RAT hatékonyságának egyik példája, hogy egy valószínűleg Iránból érkező támadó zsarolóvírus-műveletben használja. A támadó SMS-ben váltságdíjat küldött arab nyelven, és felszólított egy pakisztáni áldozatot, hogy vegye fel velük a kapcsolatot a Telegramon, bemutatva az eszköz sokoldalúságát és elérhetőségét.
A Rafel RAT jól példázza az Android rosszindulatú szoftvereinek fejlődő környezetét, amelyet nyílt forráskódú természete, kiterjedt szolgáltatáskészlete és különféle tiltott tevékenységekben való széles körben való használata jellemez. A Rafel RAT elterjedtsége aláhúzza a folyamatos éberség és a proaktív biztonsági intézkedések fontosságát az Android-eszközök rosszindulatú visszaélésekkel szembeni védelme érdekében.
