Meerdere bedreigingsactoren, waaronder cyberspionagegroepen, maken gebruik van een open-source Android-tool voor extern beheer, genaamd Rafel RAT om hun operationele doelstellingen te bereiken door het zich voor te doen als Instagram, WhatsApp en verschillende e-commerce- en antivirus-apps.
“Het biedt kwaadwillende actoren een krachtige toolkit voor beheer en controle op afstand, waardoor een reeks kwaadaardige activiteiten mogelijk wordt gemaakt, van gegevensdiefstal tot apparaatmanipulatie”, aldus Check Point in een analyse die vorige week werd gepubliceerd.
Het beschikt over een breed scala aan functies, zoals de mogelijkheid om SD-kaarten te wissen, oproeplogboeken te verwijderen, meldingen over te hevelen en zelfs als ransomware te fungeren.
Het gebruik van Rafel RAT door DoNot Team (ook bekend als APT-C-35, Brainworm en Origami Elephant) werd eerder benadrukt door het Israëlische cyberbeveiligingsbedrijf bij cyberaanvallen waarbij gebruik werd gemaakt van een ontwerpfout in Foxit PDF Reader om gebruikers te misleiden om kwaadaardige payloads te downloaden.
De campagne, die plaatsvond in april 2024, zou gebruik hebben gemaakt van PDF-lokmiddelen met een militair thema om de malware te verspreiden.
Check Point zei dat het ongeveer 120 verschillende kwaadaardige campagnes heeft geïdentificeerd, waarvan sommige zich richten op spraakmakende entiteiten, die zich uitstrekken over verschillende landen zoals Australië, China, Tsjechië, Frankrijk, Duitsland, India, Indonesië, Italië, Nieuw-Zeeland, Pakistan, Roemenië, Rusland en de Verenigde Staten. ONS
“De meerderheid van de slachtoffers had Samsung-telefoons, waarbij Xiaomi-, Vivo- en Huawei-gebruikers de op een na grootste groep onder de beoogde slachtoffers vormden”, merkte het op, eraan toevoegend dat niet minder dan 87,5% van de geïnfecteerde apparaten verouderde Android-apparaten gebruiken. versies die geen beveiligingsoplossingen meer ontvangen.
Typische aanvalsketens omvatten het gebruik van social engineering om slachtoffers te manipuleren om de met malware geregen apps opdringerige toestemmingen te verlenen om gevoelige gegevens zoals contactgegevens, sms-berichten (bijv. 2FA-codes), locatie, oproeplogboeken en de lijst met geïnstalleerde apps te verzamelen. toepassingen, onder andere.
Rafel RAT maakt voornamelijk gebruik van HTTP(S) voor command-and-control (C2)-communicatie, maar kan ook Discord API’s gebruiken om contact op te nemen met de bedreigingsactoren. Het wordt ook geleverd met een bijbehorend op PHP gebaseerd C2-paneel dat geregistreerde gebruikers kunnen gebruiken om opdrachten te geven aan gecompromitteerde apparaten.
De effectiviteit van de tool bij verschillende bedreigingsactoren wordt bevestigd door de inzet ervan in een ransomware-operatie die werd uitgevoerd door een aanvaller die waarschijnlijk afkomstig was uit Iran, die een losgeldbriefje in het Arabisch stuurde via een sms waarin een slachtoffer in Pakistan werd aangespoord contact met hen op te nemen via Telegram.
“Rafel RAT is een krachtig voorbeeld van het evoluerende landschap van Android-malware, gekenmerkt door zijn open-source karakter, uitgebreide functionaliteit en wijdverbreid gebruik bij verschillende illegale activiteiten”, aldus Check Point.
“De prevalentie van Rafel RAT onderstreept de noodzaak van voortdurende waakzaamheid en proactieve beveiligingsmaatregelen om Android-apparaten te beschermen tegen kwaadwillige exploitatie.”
