Rafel RAT stara się atakować urządzenia z Androidem
Grupy cyberszpiegowskie i inne podmioty zagrażające wykorzystują narzędzie do zdalnej administracji systemem Android typu open source, znane jako Rafel RAT. Pod postacią popularnych aplikacji, takich jak Instagram, WhatsApp oraz różnych aplikacji do handlu elektronicznego i aplikacji antywirusowych, Rafel RAT umożliwia tym złośliwym podmiotom potajemne osiąganie swoich celów.
Table of Contents
Funkcje i możliwości
Według ostatniej analizy przeprowadzonej przez Check Point, Rafel RAT wyposaża atakujących w solidny zestaw narzędzi do zdalnej kontroli i administracji. To potężne narzędzie pozwala na szeroką gamę szkodliwych działań, począwszy od kradzieży danych i manipulacji urządzeniami, aż po działanie w charakterze oprogramowania ransomware. Wśród jego funkcji znajduje się możliwość czyszczenia kart SD, usuwania dzienników połączeń, wysysania powiadomień i przeprowadzania ataków ransomware.
Godne uwagi kampanie i strategie ataków
Zespół DoNot, znany również jako APT-C-35, Brainworm i Origami Elephant, został zidentyfikowany jako użytkownik Rafel RAT podczas ich cyberataków. W kwietniu 2024 r. w znaczącej kampanii wykorzystano lukę w programie Foxit PDF Reader, wykorzystując przynęty PDF o tematyce wojskowej w celu nakłonienia użytkowników do pobrania złośliwego oprogramowania. Kampania ta obejmowała kilka krajów i była skierowana do znanych podmiotów w takich krajach, jak Australia, Chiny, Niemcy, Indie i Stany Zjednoczone.
Urządzenia docelowe i luki w zabezpieczeniach
Badania przeprowadzone przez dobrze znane źródła, takie jak CheckPoint, ujawniły około 120 złośliwych kampanii z udziałem Rafela RAT. Większość tych ataków była wycelowana w urządzenia Samsung, a następnie Xiaomi, Vivo i Huawei. Niepokojące 87,5% zaatakowanych urządzeń miało przestarzałą wersję Androida, pozbawioną najnowszych poprawek bezpieczeństwa.
Techniki ataku
Metody ataku często obejmują taktykę inżynierii społecznej, podczas której ofiary są manipulowane w celu udzielenia natrętnych uprawnień aplikacjom zawierającym złośliwe oprogramowanie. Umożliwia to złośliwemu oprogramowaniu zbieranie wrażliwych danych, takich jak dane kontaktowe, wiadomości SMS (w tym kody 2FA), dane o lokalizacji, dzienniki połączeń i listy zainstalowanych aplikacji.
Łączność dowodzenia i kontroli
Rafel RAT wykorzystuje przede wszystkim protokół HTTP(S) do komunikacji typu „dowodzenie i kontrola” (C2), ale może również wykorzystywać interfejsy API Discord do kontaktowania się z atakującymi. Dodatkowo jest wyposażony w panel C2 oparty na PHP, którego zarejestrowani użytkownicy mogą używać do wydawania poleceń zaatakowanym urządzeniom.
Studium przypadku: działanie oprogramowania ransomware
Przykładem skuteczności Rafela RAT jest jego wykorzystanie w operacji ransomware przez osobę atakującą prawdopodobnie z Iranu. Osoba atakująca wysłała SMS-em wiadomość z żądaniem okupu w języku arabskim, wzywając ofiarę w Pakistanie do skontaktowania się z nią za pośrednictwem telegramu, co pokazało wszechstronność i zasięg narzędzia.
Rafel RAT jest przykładem ewoluującego krajobrazu złośliwego oprogramowania dla systemu Android, charakteryzującego się otwartym kodem źródłowym, rozbudowanym zestawem funkcji i powszechnym wykorzystaniem w różnych nielegalnych działaniach. Częstość występowania Rafel RAT podkreśla znaczenie ciągłej czujności i proaktywnych środków bezpieczeństwa w celu ochrony urządzeń z systemem Android przed złośliwym wykorzystaniem.
