Rafel RAT 試圖瞄準 Android 設備
網路間諜組織和其他威脅行為者正在利用名為 Rafel RAT 的開源 Android 遠端管理工具。 Rafel RAT 偽裝成 Instagram、WhatsApp 等流行應用程式以及各種電子商務和防毒應用程序,使這些惡意行為者能夠秘密地實現其目標。
Table of Contents
特性和功能
根據 Check Point 最近的分析,Rafel RAT 為攻擊者提供了強大的遠端控制和管理工具包。這個強大的工具允許進行各種惡意活動,從資料竊取和設備操縱到充當勒索軟體。其功能包括擦除 SD 卡、刪除通話記錄、虹吸通知和執行勒索軟體攻擊。
著名的活動和攻擊策略
DoNot 團隊(也稱為 APT-C-35、Brainworm 和 Origami Elephant)已被確定為 Rafel RAT 網路攻擊的用戶。 2024 年 4 月的一次重大活動利用了 Foxit PDF Reader 中的漏洞,使用軍事主題的 PDF 誘餌誘騙用戶下載惡意軟體。該活動跨越多個國家,針對澳洲、中國、德國、印度和美國等國家的知名實體。
目標設備和漏洞
CheckPoint 等知名來源的研究表明,約有 120 個涉及 Rafel RAT 的惡意活動。這些攻擊大部分針對三星設備,其次是小米、Vivo 和華為。約 87.5% 的受感染裝置運行的是過時的 Android 版本,缺乏最新的安全修復程序。
攻擊技巧
攻擊方法通常涉及社會工程策略,操縱受害者向具有惡意軟體的應用程式授予侵入權限。這使得惡意軟體能夠獲取敏感數據,例如聯絡資訊、簡訊(包括 2FA 程式碼)、位置數據、通話記錄和已安裝應用程式清單。
命令與控制通信
Rafel RAT 主要使用 HTTP(S) 進行命令和控制 (C2) 通信,但它也可以利用 Discord API 來聯繫攻擊者。此外,它還配備了基於 PHP 的 C2 面板,註冊用戶可以利用該面板向受感染的裝置發出命令。
案例研究:勒索軟體操作
Rafel RAT 有效性的一個例子是,可能來自伊朗的攻擊者在勒索軟體操作中使用了它。攻擊者透過簡訊用阿拉伯語發送了勒索信,敦促巴基斯坦的受害者透過 Telegram 與他們聯繫,展示了該工具的多功能性和影響範圍。
Rafel RAT 體現了 Android 惡意軟體不斷演變的格局,其特點是開源性質、廣泛的功能集以及在各種非法活動中的廣泛使用。 Rafel RAT 的流行凸顯了持續警惕和主動採取安全措施以保護 Android 裝置免受惡意利用的重要性。
