Mehrere Bedrohungsakteure setzen Open-Source-Rafel-RAT ein, um Android-Geräte anzugreifen
Viele Bedrohungsakteure, darunter Cyberspionagegruppen, verwenden ein Open-Source-Remoteverwaltungstool für Android namens Ravel-Ratte Um ihre operativen Ziele zu erreichen, indem sie es als Instagram, WhatsApp und verschiedene E-Commerce- und Antiviren-Anwendungen tarnen.
„Es bietet böswilligen Akteuren ein leistungsstarkes Toolkit für die Fernverwaltung und -kontrolle, das eine Reihe böswilliger Aktivitäten vom Datendiebstahl bis zur Gerätemanipulation ermöglicht“, so Check Point Er sagte In einer letzte Woche veröffentlichten Analyse.
Es verfügt über eine Vielzahl von Funktionen, wie z. B. die Möglichkeit, SD-Karten zu löschen, Anrufprotokolle zu löschen, Benachrichtigungen abzurufen und sogar als Ransomware zu fungieren.
Die Verwendung des Rafel RAT von DoNot Team (auch bekannt als APT-C-35, Brainworm und Origami Elephant) wurde zuvor von dem israelischen Cybersicherheitsunternehmen bei Cyberangriffen hervorgehoben, bei denen ein Designfehler im Foxit PDF Reader ausgenutzt wurde, um Benutzer zu täuschen dazu verleiten, bösartige Payloads herunterzuladen.
Die Kampagne, die im April 2024 stattfand, soll zur Verbreitung der Schadsoftware PDF-Köder im militärischen Stil eingesetzt haben.
Check Point gab an, etwa 120 verschiedene bösartige Kampagnen identifiziert zu haben, von denen einige auf hochrangige Unternehmen abzielten und sich über so unterschiedliche Länder wie Australien, China, Tschechien, Frankreich, Deutschland, Indien, Indonesien, Italien, Neuseeland, Pakistan, Rumänien, Russland und andere erstreckten Länder. Wir
„Die Mehrheit der Opfer besitzt Samsung-Telefone, wobei Xiaomi-, Vivo- und Huawei-Benutzer die zweitgrößte Gruppe unter den Zielopfern bilden“, heißt es in dem Bericht und fügte hinzu, dass mindestens 87,5 % der infizierten Geräte mit veraltetem Android liefen. Versionen, die keine Sicherheitsupdates mehr erhalten.
Typische Angriffsketten beinhalten den Einsatz von Social Engineering, um Opfer dazu zu manipulieren, Apps, die Schadsoftware enthalten, Eingriffsberechtigungen zu erteilen, um sensible Daten wie Kontaktinformationen, SMS-Nachrichten (z. B. Zwei-Faktor-Authentifizierungscodes), Standort, Anrufprotokolle und eine Liste der installierten Apps weiterzugeben Software. Bewerbungen u.a.
Der Rafel RAT verwendet hauptsächlich HTTP(S) für die Command-and-Control-Kommunikation (C2), kann aber auch Discord-APIs verwenden, um mit Bedrohungsakteuren zu kommunizieren. Es verfügt außerdem über ein begleitendes PHP-basiertes C2-Panel, das registrierte Benutzer nutzen können, um Befehle an kompromittierte Geräte zu erteilen.
Die Wirksamkeit des Tools bei verschiedenen Bedrohungsakteuren wird durch seinen Einsatz bei einer Ransomware-Operation verstärkt, die von einem Angreifer durchgeführt wurde, der wahrscheinlich aus dem Iran stammte und per SMS einen Lösegeldschein in arabischer Sprache verschickte, in dem er das Opfer in Pakistan aufforderte, sich per Telegram mit ihm in Verbindung zu setzen.
„Der Rafel RAT ist ein starkes Beispiel für die sich entwickelnde Android-Malware-Landschaft, die sich durch ihren Open-Source-Charakter, ihren umfassenden Funktionsumfang und ihre weit verbreitete Verwendung bei verschiedenen illegalen Aktivitäten auszeichnet“, sagte Check Point.
„Die Verbreitung des Rafel RAT unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit und proaktiver Sicherheitsmaßnahmen, um Android-Geräte vor böswilliger Ausnutzung zu schützen.“
„Lebenslanger Social-Media-Liebhaber. Fällt oft hin. Schöpfer. Leidenschaftlicher Feinschmecker. Entdecker. Typischer Unruhestifter.“