안드로이드 폰을 겨냥한 Rafel RAT 악성코드를 사용하는 위협 행위자

사이버 보안 회사 Check Point Research는 사이버 범죄자들이 구식 장치를 공격할 수 있게 해주는 오픈 소스 안드로이드 악성코드 ‘Rafel RAT’에 대해 경고했습니다.

Check Point의 Antonis Terefos와 Bohdan Melnykov의 분석에 따르면, Rafel은 여러 위협 행위자들, 특히 사이버 스파이 그룹에 의해 사용되었으며, 약 120개의 다양한 악성 캠페인이 확인되었습니다.

Rafel RAT는 안드로이드 장치에서 은밀하게 작동하는 오픈 소스 악성코드 도구입니다.

이 도구는 악성 행위자들에게 원격 관리 및 제어를 위한 강력한 툴킷을 제공하여 데이터 도용에서 장치 조작에 이르기까지 다양한 악성 활동을 수행할 수 있게 합니다.

이 캠페인의 가장 잘 알려진 행위자에는 APT-C-35 (DoNot Team)가 포함되며, 악성 활동의 기원은 이란과 파키스탄으로 추적되었습니다.

이 공격은 정부 및 군사 부문을 포함한 고위험 조직을 성공적으로 겨냥했으며, 대부분의 피해자는 미국, 중국, 파키스탄, 인도네시아 및 기타 지역에서 발생하여 공격의 광범위한 지리적 범위를 강조합니다.

조사 중 Check Point는 대부분의 감염된 장치가 보안 업데이트가 더 이상 필요하지 않은 EoL(End of Life) 안드로이드 버전을 실행하고 있어 알려진 취약점에 취약하다는 것을 발견했습니다.

이 악성코드는 주로 안드로이드 11 및 이전 버전을 실행하는 장치를 공격하며, 감염의 87.5% 이상을 차지합니다. 경우에 따라 영향을 받은 장치의 12.5%만이 안드로이드 12 또는 13을 실행합니다.

영향을 받은 브랜드 및 모델에는 삼성 갤럭시, 구글 픽셀, 샤오미 레드미, 모토로라 원, 원플러스, 비보 및 화웨이의 다양한 장치 유형이 포함됩니다. 이는 다양한 안드로이드 운영 체제에 대한 Rafel RAT 악성코드의 효과를 보여줍니다.

Rafel RAT는 합법적인 엔티티의 가장을 하고 퍼지며, 위협 행위자들은 종종 인스타그램, 왓츠앱, 다양한 전자상거래 플랫폼, 안티바이러스 프로그램 및 여러 서비스의 지원 앱과 같은 여러 널리 알려진 앱을 남용합니다.

이 악성코드는 피싱 캠페인에 참여하기 위해 개발되었습니다. 피해자의 전화에 설치되면 Rafel은 알림 또는 장치 관리자 권한을 위한 수많은 권한을 요청하거나 최소한의 민감한 권한(예: SMS, 통화 기록 및 연락처)을 은밀히 요청하여 탐지를 피하려고 합니다.

그럼에도 불구하고 활성화되자마자 백그라운드에서 실행되며 HTTP 또는 암호화된 HTTPS를 통해 원격 명령 및 제어(C&C) 서버와 통신합니다.

Rafel 애플리케이션은 강탈 계획을 효과적으로 실행하는 데 필요한 모든 필수 기능을 갖추고 있습니다.

장치 관리자 권한을 얻으면 악성코드는 잠금 화면 비밀번호를 변경하고 악성코드의 제거를 방지하는 데 도움을 줄 수 있습니다.

많은 경우 2FA 메시지가 도난당하여 다단계 인증 우회를 초래할 수 있습니다.

“사용자가 애플리케이션에서 관리자 권한을 철회하려고 시도하면 즉시 비밀번호를 변경하고 화면을 잠궈 개입 시도를 저지합니다.”라고 Check Point는 지난주 발표된 분석에서 말했습니다.

“잠금 기능 외에도 이 악성코드는 미리 정의된 키를 사용하여 AES 암호화로 파일을 암호화하는 변형을 포함합니다. 또는 장치의 저장소에서 파일을 삭제할 수 있습니다.”

Check Point Research는 Rafel RAT를 사용하여 수행된 랜섬웨어 작전을 확인했으며, 이는 이란에서 유래한 위협 행위자가 아랍어로 작성된 SMS 메시지 형태의 “몸값 노트”를 보내 파키스탄의 피해자에게 텔레그램에서 그들과 연락하라고 요구했습니다.

“Rafel RAT는 오픈 소스 특성, 광범위한 기능 세트 및 다양한 불법 활동에 걸쳐 광범위하게 사용되는 특징을 가진 안드로이드 악성코드의 진화하는 풍경의 강력한 예입니다.”라고 Check Point는 지적했습니다.

“Rafel RAT의 유행은 악성 이용으로부터 안드로이드 장치를 보호하기 위한 지속적인 경계와 적극적인 보안 조치의 필요성을 강조합니다.”

이러한 공격으로부터 보호하기 위해 사용자는 장치를 최신 상태로 유지하고, 알려지지 않은 발신자 또는 알려지지 않은 웹사이트에서 다운로드한 애플리케이션의 APK 다운로드를 피하며, 이메일이나 SMS에 포함된 URL을 클릭하지 않고, 앱을 실행하기 전에 Google Play Protect로 스캔해야 합니다.