Bedrohungsakteure nutzen Rafel RAT-Malware, um Android-Handys anzugreifen

Das Cybersecurity-Unternehmen Check Point Research hat vor der Open-Source-Android-Malware „Rafel RAT“ gewarnt, die Cyberkriminellen ermöglicht, veraltete Geräte anzugreifen.

Laut einer Analyse von Antonis Terefos und Bohdan Melnykov bei Check Point wurde Rafel, ein Open-Source-Tool zur Fernadministration (RAT), von mehreren Bedrohungsakteuren, einschließlich Cyber-Spionagegruppen, genutzt und es wurden rund 120 verschiedene bösartige Kampagnen identifiziert.

Rafel RAT ist ein Open-Source-Malware-Tool, das heimlich auf Android-Geräten arbeitet.

Es bietet böswilligen Akteuren ein leistungsstarkes Toolkit für die Fernadministration und -kontrolle, mit dem sie eine Reihe von bösartigen Aktivitäten durchführen können, von Datendiebstahl bis hin zur Manipulation von Geräten.

Die bekanntesten Akteure hinter diesen Kampagnen sind APT-C-35 (DoNot Team), während die Ursprünge der bösartigen Aktivitäten auf den Iran und Pakistan zurückverfolgt wurden.

Die Angriffe zielten erfolgreich auf hochkarätige Organisationen ab, einschließlich der Regierung und des Militärs, wobei die meisten betroffenen Opfer aus den Vereinigten Staaten, China, Pakistan, Indonesien und anderen Regionen stammen, was die enorme geografische Reichweite der Angriffe verdeutlicht.

Während ihrer Untersuchung stellte Check Point fest, dass die meisten infizierten Geräte eine Android-Version verwendeten, die das Ende der Lebensdauer (EoL) erreicht hatte und keine Sicherheitsupdates mehr benötigte, was sie anfällig für bekannte Schwachstellen machte.

Die Malware greift hauptsächlich Geräte an, die Android-Versionen 11 und früher ausführen, was mehr als 87,5 % der Infektionen ausmacht. In einigen Fällen laufen nur 12,5 % der betroffenen Geräte mit Android 12 oder 13.

Die betroffenen Marken und Modelle umfassen verschiedene Gerätetypen, darunter Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One sowie Geräte von OnePlus, Vivo und Huawei. Dies zeigt die Effektivität der Rafel RAT-Malware gegen verschiedene Android-Betriebssysteme.

Rafel RAT wird unter dem Deckmantel legitimer Entitäten verbreitet, wobei Bedrohungsakteure häufig mehrere weithin anerkannte Apps missbrauchen, darunter Instagram, WhatsApp, verschiedene E-Commerce-Plattformen, Antivirenprogramme und Support-Apps für zahlreiche Dienste.

Diese Malware wurde entwickelt, um an Phishing-Kampagnen teilzunehmen. Sobald sie auf dem Telefon eines Opfers installiert ist, kann Rafel zahlreiche Berechtigungen für Benachrichtigungen oder Geräteadministratorrechte anfordern oder heimlich nach minimalen sensiblen Berechtigungen (wie SMS, Anrufprotokollen und Kontakten) suchen, um unentdeckt zu bleiben.

Ungeachtet dessen läuft sie sofort nach der Aktivierung im Hintergrund und kommuniziert über HTTP oder verschlüsseltes HTTPS mit entfernten Command-and-Control (C&C)-Servern.

Die Rafel-Anwendung verfügt über alle wesentlichen Funktionen, die erforderlich sind, um Erpressungsschemata effektiv auszuführen.

Wenn sie Geräteadministratorrechte erlangt, kann die Malware das Passwort für den Sperrbildschirm ändern und helfen, die Deinstallation der Malware zu verhindern.

In zahlreichen Fällen wurden 2FA-Nachrichten gestohlen, was möglicherweise zu einem Umgehen der Multi-Faktor-Authentifizierung führte.

„Wenn ein Benutzer versucht, die Administratorrechte der Anwendung zu widerrufen, ändert sie sofort das Passwort und sperrt den Bildschirm, um jegliche Versuche zur Intervention zu vereiteln“, sagte Check Point in einer Analyse, die letzte Woche veröffentlicht wurde.

„Neben ihrer Sperrfunktionalität enthält die Malware eine Variante, die Dateien mit AES-Verschlüsselung verschlüsselt und dabei einen vordefinierten Schlüssel verwendet. Alternativ kann sie Dateien vom Speicher des Geräts löschen.“

Check Point Research identifizierte eine Ransomware-Operation, die mit Rafel RAT durchgeführt wurde, möglicherweise von einem Bedrohungsakteur aus dem Iran, der eine „Lösegeldnotiz“ in Form einer SMS-Nachricht in arabischer Sprache sendete, die ein Opfer in Pakistan aufforderte, sie über Telegram zu kontaktieren, um den Dialog fortzusetzen.

„Rafel RAT ist ein kraftvolles Beispiel für die sich entwickelnde Landschaft der Android-Malware, gekennzeichnet durch ihre Open-Source-Natur, umfangreiche Funktionalität und weit verbreitete Nutzung in verschiedenen illegalen Aktivitäten“, wies Check Point hin.

„Die Verbreitung von Rafel RAT unterstreicht die Notwendigkeit ständiger Wachsamkeit und proaktiver Sicherheitsmaßnahmen, um Android-Geräte vor böswilliger Ausnutzung zu schützen.“

Um sich gegen diese Angriffe zu schützen, sollten Benutzer ihre Geräte auf dem neuesten Stand halten, APK-Downloads von unbekannten Absendern oder Anwendungen, die von unbekannten Websites heruntergeladen wurden, vermeiden, das Klicken auf in E-Mails oder SMS eingebettete URLs vermeiden und Apps vor dem Start mit Google Play Protect scannen.