ラフェルRATマルウェアを使用してAndroidフォンを標的にする脅威アクター

サイバーセキュリティ企業Check Point Researchは、サイバー犯罪者が古いデバイスを攻撃することを可能にするオープンソースのAndroidマルウェア「Rafel RAT」に対して警告を発しました。

Check Pointのアントニス・テレフォスとボフダン・メルニコフによる分析によれば、Rafelはオープンソースのリモート管理ツール（RAT）であり、サイバー諜報グループを含む複数の脅威アクターによって利用され、約120の異なる悪意のあるキャンペーンが特定されました。

Rafel RATは、Androidデバイス上で密かに動作するオープンソースのマルウェアツールです。

それは悪意のあるアクターにリモート管理と制御のための強力なツールキットを提供し、データ盗難からデバイス操作まで、さまざまな悪意のある活動を実行することを可能にします。

これらのキャンペーンの背後にいる最も有名なアクターにはAPT-C-35（DoNot Team）が含まれ、悪意のある活動の起源はイランとパキスタンにまでさかのぼります。

攻撃は政府や軍事部門を含むハイプロファイルな組織を標的にし、最も標的にされた被害者はアメリカ、中国、パキスタン、インドネシア、その他の地域からであり、攻撃の広範な地理的範囲を強調しています。

調査中、Check Pointは、感染したデバイスのほとんどがEoL（サポート終了）に達したAndroidバージョンを実行しており、もはやセキュリティアップデートが必要ないため、既知の脆弱性に対して脆弱であることを発見しました。

このマルウェアは主にAndroidバージョン11以前のデバイスを攻撃し、感染の87.5％以上を占めています。場合によっては、影響を受けたデバイスのうちわずか12.5％がAndroid 12または13を実行しています。

影響を受けたブランドとモデルには、Samsung Galaxy、Google Pixel、Xiaomi Redmi、Motorola One、OnePlus、Vivo、Huaweiのデバイスなど、さまざまなデバイスタイプが含まれています。これは、さまざまなAndroidオペレーティングシステムに対するRafel RATマルウェアの効果を示しています。

Rafel RATは、正当なエンティティのふりをして広がり、脅威アクターはInstagram、WhatsApp、さまざまな電子商取引プラットフォーム、アンチウイルスプログラム、さまざまなサービスのサポートアプリなど、広く認識されている複数のアプリを悪用することがよくあります。

このマルウェアはフィッシングキャンペーンに参加するために開発されました。被害者の電話にインストールされると、Rafelは通知やデバイス管理者権限のために多数の権限を要求するか、検出されないように最小限の機密権限（SMS、通話履歴、連絡先など）を密かに求めることがあります。

それにもかかわらず、アクティベーション直後にバックグラウンドで実行され、HTTPまたは暗号化されたHTTPSを介してリモートコマンド＆コントロール（C&C）サーバーと通信します。

Rafelアプリケーションは、強制的な詐欺スキームを効果的に実行するために必要なすべての基本機能を備えています。

デバイス管理者権限を取得すると、マルウェアはロック画面のパスワードを変更し、マルウェアのアンインストールを防ぐのに役立ちます。

多くの場合、2FAメッセージが盗まれ、多要素認証のバイパスにつながる可能性があります。

「ユーザーがアプリケーションから管理者権限を取り消そうとすると、すぐにパスワードを変更し、画面をロックして介入を妨げます」とCheck Pointは先週発表した分析で述べました。

「ロッカー機能に加えて、マルウェアはAES暗号化を使用してファイルを暗号化するバリアントを組み込んでおり、事前定義されたキーを使用します。あるいは、デバイスのストレージからファイルを削除することもあります。」

Check Point Researchは、Rafel RATを使用して実行されたランサムウェア操作を特定し、イランからの脅威アクターによって実行された可能性があり、アラビア語で書かれたSMSメッセージの形で「身代金要求」を送り、パキスタンの被害者に対してTelegramで連絡を取るように要求しました。

「Rafel RATは、オープンソースの性質、広範な機能セット、さまざまな違法活動における広範な利用によって特徴付けられるAndroidマルウェアの進化する風景の強力な例です」とCheck Pointは指摘しました。

「Rafel RATの普及は、悪意のある悪用からAndroidデバイスを保護するために、継続的な警戒と積極的なセキュリティ対策の必要性を強調しています。」

これらの攻撃から保護するために、ユーザーはデバイスを最新の状態に保ち、未知の送信者からのAPKダウンロードや未知のウェブサイトからダウンロードしたアプリを避け、メールやSMSに埋め込まれたURLをクリックしないようにし、アプリを起動する前にGoogle Play Protectでスキャンする必要があります。