Rafel RAT 瞄准 Android 设备
网络间谍组织和其他威胁行为者正在使用一种名为 Rafel RAT 的开源 Android 远程管理工具。Rafel RAT 伪装成 Instagram、WhatsApp 和各种电子商务和防病毒应用程序等流行应用程序,使这些恶意行为者能够秘密地实现其目标。
Table of Contents
特性和功能
根据 Check Point 最近的分析,Rafel RAT 为攻击者提供了一套强大的远程控制和管理工具包。这款强大的工具允许攻击者进行各种恶意活动,从数据窃取和设备操纵到充当勒索软件。它的功能包括擦除 SD 卡、删除通话记录、窃取通知和执行勒索软件攻击。
值得注意的战役和攻击策略
DoNot 团队(又名 APT-C-35、Brainworm 和 Origami Elephant)已被确定为其网络攻击中的 Rafel RAT 用户。2024 年 4 月的一次重大活动利用了 Foxit PDF Reader 中的漏洞,使用军事主题的 PDF 诱饵诱骗用户下载恶意软件。该活动横跨多个国家,针对澳大利亚、中国、德国、印度和美国等国家的知名实体。
目标设备和漏洞
CheckPoint 等知名机构的研究显示,大约有 120 起恶意攻击与 Rafel RAT 有关。这些攻击大多针对三星设备,其次是小米、Vivo 和华为。约 87.5% 的受感染设备运行的是过时的 Android 版本,缺乏最新的安全修复。
攻击技术
攻击方法通常涉及社会工程策略,即操纵受害者向恶意软件应用程序授予侵入性权限。这允许恶意软件收集敏感数据,例如联系信息、短信(包括 2FA 代码)、位置数据、通话记录和已安装应用程序列表。
指挥与控制通信
Rafel RAT 主要使用 HTTP(S) 进行命令与控制 (C2) 通信,但它也可以利用 Discord API 联系攻击者。此外,它还配备了一个基于 PHP 的 C2 面板,注册用户可以利用该面板向受感染的设备发出命令。
案例研究:勒索软件操作
Rafel RAT 有效性的一个例子是,一名可能来自伊朗的攻击者在勒索软件操作中使用它。攻击者通过短信发送了一封阿拉伯语勒索信,敦促巴基斯坦的一名受害者通过 Telegram 联系他们,展示了该工具的多功能性和覆盖范围。
Rafel RAT 是 Android 恶意软件不断发展的典型代表,其特点是开源性质、广泛的功能集以及在各种非法活动中的广泛使用。Rafel RAT 的盛行凸显了持续警惕和主动安全措施的重要性,以保护 Android 设备免受恶意攻击。
