Rafel RAT søker å målrette Android-enheter
Nettspionasjegrupper og andre trusselaktører bruker et åpen kildekode Android fjernadministrasjonsverktøy kjent som Rafel RAT. Forkledd som populære applikasjoner som Instagram, WhatsApp og ulike e-handels- og antivirusapper, lar Rafel RAT disse ondsinnede aktørene nå sine mål i det skjulte.
Table of Contents
Funksjoner og muligheter
I følge en fersk analyse fra Check Point, utstyrer Rafel RAT angripere med et robust verktøysett for fjernkontroll og administrasjon. Dette kraftige verktøyet tillater et bredt spekter av ondsinnede aktiviteter, alt fra datatyveri og enhetsmanipulasjon til å fungere som løsepengevare. Blant funksjonene er muligheten til å tørke SD-kort, slette anropslogger, sifonvarsler og utføre løsepenge-angrep.
Bemerkelsesverdige kampanjer og angrepsstrategier
DoNot-teamet, også kjent som APT-C-35, Brainworm og Origami Elephant, har blitt identifisert som en bruker av Rafel RAT i deres cyberangrep. En betydelig kampanje i april 2024 utnyttet en sårbarhet i Foxit PDF Reader, ved å bruke PDF-lokker med militært tema for å lure brukere til å laste ned skadelig programvare. Denne kampanjen spenner over flere land, og målrettet mot høyprofilerte enheter i nasjoner som Australia, Kina, Tyskland, India og USA.
Målenheter og sårbarheter
Forskning fra kjente kilder som CheckPoint har fremhevet omtrent 120 ondsinnede kampanjer som involverer Rafel RAT. Flertallet av disse angrepene var rettet mot Samsung-enheter, etterfulgt av Xiaomi, Vivo og Huawei. Omtrent 87,5 % av de kompromitterte enhetene kjørte utdaterte Android-versjoner, og manglet de siste sikkerhetsfiksene.
Angrepsteknikker
Angrepsmetodene involverer ofte sosial ingeniør-taktikk, der ofre blir manipulert til å gi påtrengende tillatelser til apper som inneholder skadevare. Dette gjør at skadelig programvare kan samle inn sensitive data som kontaktinformasjon, SMS-meldinger (inkludert 2FA-koder), plasseringsdata, anropslogger og lister over installerte applikasjoner.
Kommando-og-kontroll-kommunikasjon
Rafel RAT bruker først og fremst HTTP(S) for sin kommando-og-kontroll (C2) kommunikasjon, men den kan også utnytte Discord APIer for å kontakte angriperne. I tillegg kommer den med et PHP-basert C2-panel som registrerte brukere kan bruke til å utstede kommandoer til kompromitterte enheter.
Kasusstudie: Ransomware-operasjon
Et eksempel på Rafel RATs effektivitet er bruken i en løsepengevareoperasjon av en angriper sannsynligvis fra Iran. Angriperen sendte et løsepengebrev på arabisk via SMS, og oppfordret et offer i Pakistan til å kontakte dem på Telegram, og viste frem verktøyets allsidighet og rekkevidde.
Rafel RAT eksemplifiserer det utviklende landskapet for Android-skadevare, preget av åpen kildekode-natur, omfattende funksjonssett og utbredt bruk i ulike ulovlige aktiviteter. Utbredelsen av Rafel RAT understreker viktigheten av kontinuerlig årvåkenhet og proaktive sikkerhetstiltak for å beskytte Android-enheter mot ondsinnet utnyttelse.
