Rafel RAT försöker inrikta sig på Android-enheter
Cyberspionagegrupper och andra hotaktörer använder ett Android-fjärradministrationsverktyg med öppen källkod som kallas Rafel RAT. Förklädd som populära applikationer som Instagram, WhatsApp och olika e-handels- och antivirusappar gör Rafel RAT det möjligt för dessa illvilliga aktörer att nå sina mål i hemlighet.
Table of Contents
Funktioner och funktioner
Enligt en färsk analys av Check Point, utrustar Rafel RAT angripare med en robust verktygslåda för fjärrkontroll och administration. Detta kraftfulla verktyg möjliggör ett brett utbud av skadliga aktiviteter, allt från datastöld och enhetsmanipulation till att fungera som lösenprogram. Bland dess funktioner är möjligheten att torka SD-kort, radera samtalsloggar, sifonaviseringar och utföra ransomware-attacker.
Anmärkningsvärda kampanjer och attackstrategier
DoNot Team, även känt som APT-C-35, Brainworm och Origami Elephant, har identifierats som en användare av Rafel RAT i sina cyberattacker. En betydande kampanj i april 2024 utnyttjade en sårbarhet i Foxit PDF Reader, med hjälp av PDF-drag med militärtema för att lura användare att ladda ner skadlig programvara. Kampanjen sträckte sig över flera länder och riktade sig till högprofilerade enheter i länder som Australien, Kina, Tyskland, Indien och USA.
Målenheter och sårbarheter
Forskning från välkända källor som CheckPoint har lyft fram cirka 120 skadliga kampanjer som involverar Rafel RAT. Majoriteten av dessa attacker riktade sig mot Samsung-enheter, följt av Xiaomi, Vivo och Huawei. Omkring 87,5 % av de komprometterade enheterna körde föråldrade Android-versioner, utan de senaste säkerhetskorrigeringarna.
Attackteknik
Attackmetoderna involverar ofta social ingenjörskonst, där offer manipuleras för att ge påträngande behörigheter till appar som innehåller skadlig programvara. Detta gör att skadlig programvara kan samla in känslig data som kontaktinformation, SMS-meddelanden (inklusive 2FA-koder), platsdata, samtalsloggar och listor över installerade applikationer.
Kommando-och-kontrollkommunikation
Rafel RAT använder i första hand HTTP(S) för sin kommando-och-kontroll-kommunikation (C2), men den kan också utnyttja Discord API:er för att kontakta angriparna. Dessutom kommer den med en PHP-baserad C2-panel som registrerade användare kan använda för att utfärda kommandon till komprometterade enheter.
Fallstudie: Ransomware Operation
Ett exempel på Rafel RATs effektivitet är dess användning i en ransomware-operation av en angripare troligen från Iran. Angriparen skickade ett lösenbrev på arabiska via SMS och uppmanade ett offer i Pakistan att kontakta dem på Telegram, vilket visade upp verktygets mångsidighet och räckvidd.
Rafel RAT exemplifierar utvecklingen av skadlig programvara för Android, kännetecknad av dess öppen källkod, omfattande funktionsuppsättning och utbredd användning i olika olagliga aktiviteter. Förekomsten av Rafel RAT understryker vikten av kontinuerlig vaksamhet och proaktiva säkerhetsåtgärder för att skydda Android-enheter från skadlig exploatering.
