Rafel RAT стремится атаковать устройства Android
Группы кибершпионажа и другие субъекты угроз используют инструмент удаленного администрирования Android с открытым исходным кодом, известный как Rafel RAT. Rafel RAT, замаскированный под популярные приложения, такие как Instagram, WhatsApp, а также различные приложения для электронной коммерции и антивирусы, позволяет этим злоумышленникам скрытно достигать своих целей.
Table of Contents
Особенности и возможности
Согласно недавнему анализу Check Point, Rafel RAT предоставляет злоумышленникам надежный набор инструментов для удаленного контроля и администрирования. Этот мощный инструмент позволяет осуществлять широкий спектр вредоносных действий, начиная от кражи данных и манипулирования устройствами и заканчивая программами-вымогателями. Среди его функций — возможность стирать SD-карты, удалять журналы вызовов, перекачивать уведомления и выполнять атаки программ-вымогателей.
Известные кампании и стратегии атак
Команда DoNot, также известная как APT-C-35, Brainworm и Origami Elephant, была идентифицирована как пользователь Rafel RAT в своих кибератаках. Крупная кампания, проведенная в апреле 2024 года, использовала уязвимость в Foxit PDF Reader, используя PDF-приманки на военную тематику, чтобы обманом заставить пользователей загрузить вредоносное ПО. Эта кампания охватила несколько стран и была нацелена на известные организации в таких странах, как Австралия, Китай, Германия, Индия и США.
Целевые устройства и уязвимости
Исследования известных источников, таких как CheckPoint, выявили около 120 вредоносных кампаний с участием Rafel RAT. Большинство этих атак были нацелены на устройства Samsung, за которыми следовали Xiaomi, Vivo и Huawei. Около 87,5% взломанных устройств работали под управлением устаревших версий Android без последних исправлений безопасности.
Техники атаки
Методы атак часто включают в себя тактику социальной инженерии, при которой жертвами манипулируют, заставляя их предоставлять навязчивые разрешения приложениям, содержащим вредоносное ПО. Это позволяет вредоносному ПО собирать конфиденциальные данные, такие как контактная информация, SMS-сообщения (включая коды 2FA), данные о местоположении, журналы вызовов и списки установленных приложений.
Командно-контрольная связь
Rafel RAT в основном использует HTTP(S) для связи по управлению и контролю (C2), но также может использовать API-интерфейсы Discord для связи с злоумышленниками. Кроме того, он поставляется с панелью C2 на основе PHP, которую зарегистрированные пользователи могут использовать для подачи команд скомпрометированным устройствам.
Практический пример: работа с программой-вымогателем
Примером эффективности Rafel RAT является его использование в операции по вымогательству злоумышленником, предположительно из Ирана. Злоумышленник отправил SMS-сообщение с требованием выкупа на арабском языке, призывая жертву в Пакистане связаться с ней в Telegram, демонстрируя универсальность и охват инструмента.
Rafel RAT иллюстрирует развивающуюся среду вредоносного ПО для Android, характеризующуюся открытым исходным кодом, обширным набором функций и широким использованием в различных незаконных действиях. Распространенность Rafel RAT подчеркивает важность постоянной бдительности и превентивных мер безопасности для защиты устройств Android от вредоносного использования.
