Акторы угроз, использующие вредоносное ПО Rafel RAT для атаки на Android-устройства

Компания в области кибербезопасности Check Point Research предупредила о вредоносном ПО для Android с открытым исходным кодом «Rafel RAT», которое позволяет киберпреступникам атаковать устаревшие устройства.

Согласно анализу Антониса Терефоса и Богдана Мельникова из Check Point, Rafel, инструмент удаленного администрирования с открытым исходным кодом (RAT), использовался несколькими актерами угроз, включая группы кибершпионажа, и был идентифицирован в около 120 различных вредоносных кампаниях.

Rafel RAT — это инструмент вредоносного ПО с открытым исходным кодом, который работает скрытно на устройствах Android.

Он предоставляет злонамеренным актерам мощный набор инструментов для удаленного администрирования и контроля, позволяя им выполнять ряд вредоносных действий, от кражи данных до манипуляции устройствами.

Наиболее известные актеры, стоящие за этими кампаниями, включают APT-C-35 (DoNot Team), в то время как происхождение вредоносной активности было прослежено до Ирана и Пакистана.

Атаки успешно нацеливались на высокопрофильные организации, включая государственный и военный сектор, при этом большинство пострадавших жертв находились в Соединенных Штатах, Китае, Пакистане, Индонезии и других регионах, что подчеркивает широкий географический охват атак.

В ходе своего расследования Check Point обнаружила, что большинство зараженных устройств работали на версии Android, которая достигла конца жизненного цикла (EoL) и больше не требовала обновлений безопасности, что делало их уязвимыми для известных уязвимостей.

Вредоносное ПО в первую очередь атакует устройства с версиями Android 11 и ранее, что составляет более 87,5% инфекций. В некоторых случаях только 12,5% затронутых устройств работают на Android 12 или 13.

Затронутые бренды и модели включают различные типы устройств, включая Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One и устройства от OnePlus, Vivo и Huawei. Это показывает эффективность вредоносного ПО Rafel RAT против различных операционных систем Android.

Rafel RAT распространяется под видом легитимных сущностей, при этом злоумышленники часто злоупотребляют несколькими широко известными приложениями, включая Instagram, WhatsApp, различные платформы электронной коммерции, антивирусные программы и приложения поддержки для многочисленных сервисов.

Это вредоносное ПО было разработано для участия в фишинговых кампаниях. После установки на телефон жертвы Rafel может запрашивать множество разрешений на уведомления или права администратора устройства или скрытно запрашивать минимальные чувствительные разрешения (такие как SMS, журналы вызовов и контакты) в своей попытке оставаться незамеченным.

Тем не менее, оно запускается в фоновом режиме сразу после активации и связывается с удаленными серверами командного и контрольного центра (C&C) через HTTP или зашифрованный HTTPS.

Приложение Rafel обладает всеми необходимыми функциями для эффективного выполнения схем вымогательства.

Если оно получает права администратора устройства, вредоносное ПО может изменить пароль блокировки экрана и помочь предотвратить его удаление.

Во многих случаях сообщения 2FA были украдены, что потенциально могло привести к обходу многофакторной аутентификации.

«Если пользователь пытается отозвать права администратора у приложения, оно немедленно меняет пароль и блокирует экран, препятствуя любым попыткам вмешательства», — заявила Check Point в анализе, опубликованном на прошлой неделе.

«В дополнение к своей функции блокировки, вредоносное ПО включает в себя вариант, который шифрует файлы с использованием шифрования AES, применяя заранее определенный ключ. В качестве альтернативы оно может удалять файлы из памяти устройства.»

Check Point Research выявила операцию программ-вымогателей, выполненную с использованием Rafel RAT, возможно, осуществленную злоумышленником, происходящим из Ирана, который отправил «записку с выкупом» в виде SMS-сообщения, написанного на арабском языке, в котором настаивалось, чтобы жертва в Пакистане связалась с ними в Telegram для продолжения диалога.

«Rafel RAT является мощным примером развивающегося ландшафта вредоносного ПО для Android, характеризующегося своей открытой природой, обширным набором функций и широким использованием в различных незаконных действиях», — отметила Check Point.

«Распространенность Rafel RAT подчеркивает необходимость постоянной бдительности и проактивных мер безопасности для защиты устройств Android от вредоносной эксплуатации.»

Чтобы защититься от этих атак, пользователи должны поддерживать свои устройства в актуальном состоянии, избегать загрузки APK от неизвестных отправителей или приложений, загруженных с неизвестных сайтов, избегать нажатия на URL-адреса, встроенные в электронные письма или SMS, и сканировать приложения с помощью Google Play Protect перед их запуском.