Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Зона действия Rafel RAT охватила уже больше 15 стран

24/06/24

RAT-1024x438

Согласно недавнему отчёту компании Check Point, киберпреступные группы, включая те, что преследуют своей целью кибершпионаж, в последнее время активно применяют открытый инструмент удалённого администрирования Android под названием Rafel RAT, маскируя его под Instagram*, WhatsApp и различные приложения для электронной коммерции и антивирусы, пишет Securitylab.

Исследователи сообщили, что этот инструмент предоставляет злоумышленникам мощный набор возможностей для удалённого управления и контроля, что позволяет совершать различные злонамеренные действия, от кражи данных до манипуляции устройствами.

Rafel RAT обладает широким набором функций, таких как возможность стирать SD-карты, удалять журналы вызовов, перехватывать уведомления и даже действовать как программа-вымогатель.

Ранее специалисты Check Point уже фиксировали использование Rafel RAT группой DoNot Team в кибератаках, которые использовали уязвимость в Foxit Reader для обмана пользователей. Эта кампания, прошедшая в апреле 2024 года, использовала PDF-файлы с военной тематикой для доставки вредоносного ПО.

Check Point идентифицировала около 120 различных злонамеренных кампаний, некоторые из которых были направлены на высокопрофильные объекты в таких странах, как Австралия, Китай, Чехия, Франция, Германия, Индия, Индонезия, Италия, Новая Зеландия, Пакистан, Румыния, Россия и США.

Большинство жертв Rafel RAT использовали телефоны Samsung, за ними следовали пользователи Xiaomi, Vivo и Huawei. Более 87,5% инфицированных устройств работали на устаревших версиях Android, которые больше не получают обновления безопасности.

Типичные цепочки атак включали социальную инженерию, чтобы манипулировать жертвами и заставить их предоставить приложениям с вредоносным ПО доступ к конфиденциальным данным, таким как контактная информация, SMS-сообщения, местоположение и журналы вызовов.

Rafel RAT в основном использует HTTP(S) для C2-коммуникаций, но также может использовать API Discord для связи с серверами злоумышленников. Кроме того, инструмент имеет PHP-панель управления, которую зарегистрированные пользователи могут использовать для управления скомпрометированными устройствами.

Эффективность этого инструмента подтверждается его применением в операции по вымогательству, проведённой атакующим, предположительно из Ирана, который отправил записку с требованием выкупа на арабском языке через SMS, призывая жертву из Пакистана связаться с ним в Telegram.

Эксперты Check Point отметили, что Rafel RAT является ярким примером эволюции Android-вредоносов, характеризующегося открытым исходным кодом, обширным набором функций и широким применением в различных незаконных действиях. 

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Темы:AndroidУгрозыCheck PointRAT-трояны
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...