Rafel RAT は Android デバイスをターゲットにしようとしている
サイバースパイグループやその他の脅威アクターは、Rafel RAT と呼ばれるオープンソースの Android リモート管理ツールを利用しています。Instagram、WhatsApp、さまざまな電子商取引やウイルス対策アプリなどの人気アプリケーションに偽装された Rafel RAT により、悪意のあるアクターは密かに目的を達成することができます。
Table of Contents
機能と性能
Check Point の最近の分析によると、Rafel RAT は攻撃者にリモート制御と管理のための強力なツールキットを提供します。この強力なツールは、データの盗難やデバイスの操作からランサムウェアとしての動作まで、さまざまな悪意のあるアクティビティを可能にします。その機能には、SD カードの消去、通話記録の削除、通知の吸い上げ、ランサムウェア攻撃の実行などがあります。
注目すべきキャンペーンと攻撃戦略
DoNot Team (別名 APT-C-35、Brainworm、Origami Elephant) は、サイバー攻撃で Rafel RAT を使用していることが判明しています。2024 年 4 月の大規模なキャンペーンでは、Foxit PDF Reader の脆弱性を悪用し、軍事をテーマにした PDF のルアーを使用してユーザーを騙してマルウェアをダウンロードさせました。このキャンペーンは複数の国に広がり、オーストラリア、中国、ドイツ、インド、米国などの国の著名な組織を標的にしました。
対象デバイスと脆弱性
CheckPoint などの有名なソースによる調査では、Rafel RAT に関連する悪意のあるキャンペーンが約 120 件特定されています。これらの攻撃の大半は Samsung デバイスを標的としており、続いて Xiaomi、Vivo、Huawei が続いています。侵害されたデバイスの 87.5% は、最新のセキュリティ修正プログラムが適用されていない古いバージョンの Android を実行していました。
攻撃テクニック
攻撃方法にはソーシャル エンジニアリングの戦術が使われることが多く、被害者はマルウェアが仕込まれたアプリに侵入的な権限を与えるように誘導されます。これにより、マルウェアは連絡先情報、SMS メッセージ (2FA コードを含む)、位置情報、通話履歴、インストールされているアプリケーションのリストなどの機密データを収集できます。
指揮統制通信
Rafel RAT は、コマンド アンド コントロール (C2) 通信に主に HTTP(S) を使用しますが、Discord API を利用して攻撃者と連絡を取ることもできます。さらに、登録ユーザーが侵害されたデバイスにコマンドを発行するために使用できる PHP ベースの C2 パネルが付属しています。
ケーススタディ: ランサムウェアの活動
Rafel RAT の有効性を示す例として、イラン出身と思われる攻撃者によるランサムウェア攻撃での使用が挙げられます。攻撃者は、SMS 経由でアラビア語で身代金要求のメッセージを送り、パキスタンの被害者に Telegram で連絡するよう促しました。このことから、このツールの汎用性と範囲が明らかになりました。
Rafel RAT は、オープンソースの性質、広範な機能セット、さまざまな違法行為での広範な使用を特徴とする、Android マルウェアの進化の状況を例示しています。Rafel RAT の蔓延は、Android デバイスを悪意のある悪用から保護するための継続的な警戒と予防的なセキュリティ対策の重要性を強調しています。
