De Rafel RAT probeert Android-apparaten te targeten
Cyberspionagegroepen en andere bedreigingsactoren maken gebruik van een open-source Android-tool voor extern beheer, bekend als Rafel RAT. Vermomd als populaire applicaties zoals Instagram, WhatsApp en verschillende e-commerce- en antivirus-apps, stelt Rafel RAT deze kwaadwillende actoren in staat hun doelen heimelijk te bereiken.
Table of Contents
Kenmerken en mogelijkheden
Volgens een recente analyse van Check Point rust Rafel RAT aanvallers uit met een robuuste toolkit voor bediening en beheer op afstand. Deze krachtige tool maakt een breed scala aan kwaadaardige activiteiten mogelijk, variërend van gegevensdiefstal en apparaatmanipulatie tot het fungeren als ransomware. Tot de functies behoren de mogelijkheid om SD-kaarten te wissen, oproeplogboeken te verwijderen, meldingen over te hevelen en ransomware-aanvallen uit te voeren.
Opmerkelijke campagnes en aanvalsstrategieën
Het DoNot-team, ook bekend als APT-C-35, Brainworm en Origami Elephant, is bij hun cyberaanvallen geïdentificeerd als een gebruiker van Rafel RAT. Bij een belangrijke campagne in april 2024 werd misbruik gemaakt van een kwetsbaarheid in Foxit PDF Reader, waarbij PDF-lokmiddelen met een militair thema werden gebruikt om gebruikers te misleiden om de malware te downloaden. Deze campagne omvatte verschillende landen en richtte zich op spraakmakende entiteiten in landen als Australië, China, Duitsland, India en de Verenigde Staten.
Doelapparaten en kwetsbaarheden
Onderzoek door bekende bronnen zoals CheckPoint heeft ongeveer 120 kwaadaardige campagnes aan het licht gebracht waarbij Rafel RAT betrokken was. Het merendeel van deze aanvallen was gericht op Samsung-apparaten, gevolgd door Xiaomi, Vivo en Huawei. Ongeveer 87,5% van de besmette apparaten draaide op verouderde Android-versies, zonder de nieuwste beveiligingsoplossingen.
Aanvalstechnieken
Bij de aanvalsmethoden wordt vaak gebruik gemaakt van social engineering-tactieken, waarbij slachtoffers worden gemanipuleerd om opdringerige toestemmingen te verlenen aan apps die met malware zijn verbonden. Hierdoor kan de malware gevoelige gegevens verzamelen, zoals contactgegevens, sms-berichten (inclusief 2FA-codes), locatiegegevens, oproeplogboeken en lijsten met geïnstalleerde applicaties.
Command-and-control-communicatie
Rafel RAT gebruikt voornamelijk HTTP(S) voor zijn command-and-control (C2)-communicatie, maar kan ook gebruik maken van Discord API's om contact op te nemen met de aanvallers. Bovendien wordt het geleverd met een op PHP gebaseerd C2-paneel dat geregistreerde gebruikers kunnen gebruiken om opdrachten te geven aan gecompromitteerde apparaten.
Casestudy: werking van ransomware
Een voorbeeld van de effectiviteit van Rafel RAT is het gebruik ervan bij een ransomware-operatie door een aanvaller, waarschijnlijk uit Iran. De aanvaller stuurde via sms een losgeldbriefje in het Arabisch, waarin hij een slachtoffer in Pakistan aanspoorde contact met hen op te nemen via Telegram, wat de veelzijdigheid en het bereik van de tool aantoonde.
Rafel RAT is een voorbeeld van het evoluerende landschap van Android-malware, gekenmerkt door zijn open-source karakter, uitgebreide functieset en wijdverbreid gebruik bij verschillende illegale activiteiten. De prevalentie van Rafel RAT onderstreept het belang van voortdurende waakzaamheid en proactieve beveiligingsmaatregelen om Android-apparaten te beschermen tegen kwaadwillige exploitatie.
