Acteurs malveillants utilisant le malware Rafel RAT pour cibler les téléphones Android

La société de cybersécurité Check Point Research a averti contre le malware Android open-source ‘Rafel RAT’, qui permet aux cybercriminels d’attaquer des appareils obsolètes.

Selon une analyse d’Antonis Terefos et Bohdan Melnykov chez Check Point, Rafel, un outil d’administration à distance (RAT) open-source, a été utilisé par plusieurs acteurs malveillants, y compris des groupes de cyberespionnage, et a identifié environ 120 campagnes malveillantes différentes.

Rafel RAT est un outil de malware open-source qui opère de manière discrète sur les appareils Android.

Il fournit aux acteurs malveillants une boîte à outils puissante pour l’administration et le contrôle à distance, leur permettant d’effectuer une gamme d’activités malveillantes, du vol de données à la manipulation d’appareils.

Les acteurs les plus connus derrière ces campagnes incluent APT-C-35 (DoNot Team), tandis que les origines de l’activité malveillante ont été retracées jusqu’à l’Iran et au Pakistan.

Les attaques ont réussi à cibler des organisations de haut profil, y compris le gouvernement et le secteur militaire, la plupart des victimes ciblées étant originaires des États-Unis, de Chine, du Pakistan, d’Indonésie et d’autres régions, soulignant la vaste portée géographique des attaques.

Au cours de leur enquête, Check Point a découvert que la plupart des appareils infectés exécutaient une version d’Android qui avait atteint la fin de sa vie (EoL) et ne nécessitait plus de mises à jour de sécurité, les rendant vulnérables aux vulnérabilités connues.

Le malware attaque principalement les appareils exécutant des versions d’Android 11 et antérieures, représentant plus de 87,5 % des infections. Dans certains cas, seulement 12,5 % des appareils affectés exécutent Android 12 ou 13.

Les marques et modèles affectés incluent divers types d’appareils, y compris Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, et des appareils de OnePlus, Vivo et Huawei. Cela montre l’efficacité du malware Rafel RAT contre divers systèmes d’exploitation Android.

Rafel RAT se propage sous le couvert d’entités légitimes, les acteurs malveillants abusant souvent de plusieurs applications largement reconnues, y compris Instagram, WhatsApp, diverses plateformes de commerce électronique, des programmes antivirus et des applications de support pour de nombreux services.

Ce malware a été développé pour participer à des campagnes de phishing. Une fois installé sur le téléphone d’une victime, Rafel peut demander de nombreuses autorisations pour les Notifications ou les droits d’administration de l’appareil ou chercher discrètement des autorisations sensibles minimales (comme les SMS, les journaux d’appels et les contacts) dans sa quête de rester indétecté.

Quoi qu’il en soit, il s’exécute en arrière-plan immédiatement après activation et communique avec des serveurs de commande et de contrôle (C&C) distants via HTTP ou HTTPS crypté.

L’application Rafel possède toutes les fonctionnalités essentielles requises pour exécuter efficacement des schémas d’extorsion.

Si elle obtient des privilèges DeviceAdmin, le malware peut modifier le mot de passe de l’écran de verrouillage et aider à empêcher la désinstallation du malware.

Dans de nombreux cas, des messages 2FA ont été volés, ce qui pourrait conduire à un contournement de l’authentification multi-facteurs.

“Si un utilisateur tente de révoquer les privilèges d’administration de l’application, elle change immédiatement le mot de passe et verrouille l’écran, contrecarrant toute tentative d’intervention,” a déclaré Check Point dans une analyse publiée la semaine dernière.

“En plus de sa fonctionnalité de verrouillage, le malware incorpore une variante qui crypte les fichiers en utilisant le cryptage AES, en utilisant une clé prédéfinie. Alternativement, il peut supprimer des fichiers du stockage de l’appareil.”

Check Point Research a identifié une opération de ransomware réalisée avec Rafel RAT, probablement effectuée par un acteur malveillant originaire d’Iran, qui a envoyé une “note de rançon” sous la forme d’un message SMS écrit en arabe, insistant pour qu’une victime au Pakistan les contacte sur Telegram pour poursuivre le dialogue.

“Rafel RAT est un exemple puissant de l’évolution du paysage des malwares Android, caractérisé par sa nature open-source, son ensemble de fonctionnalités étendu et son utilisation répandue dans diverses activités illicites,” a souligné Check Point.

“La prévalence de Rafel RAT souligne la nécessité d’une vigilance continue et de mesures de sécurité proactives pour protéger les appareils Android contre l’exploitation malveillante.”

Pour se protéger contre ces attaques, les utilisateurs doivent garder leurs appareils à jour, éviter les téléchargements APK provenant d’expéditeurs inconnus ou d’applications téléchargées par des sites inconnus, éviter de cliquer sur des URL intégrées dans des e-mails ou des SMS, et scanner les applications avec Google Play Protect avant de les lancer.