Зона действия Rafel RAT охватила уже больше 15 стран
24/06/24
Согласно недавнему отчёту компании Check Point, киберпреступные группы, включая те, что преследуют своей целью кибершпионаж, в последнее время активно применяют открытый инструмент удалённого администрирования Android под названием Rafel RAT, маскируя его под Instagram*, WhatsApp и различные приложения для электронной коммерции и антивирусы, пишет Securitylab.
Исследователи сообщили, что этот инструмент предоставляет злоумышленникам мощный набор возможностей для удалённого управления и контроля, что позволяет совершать различные злонамеренные действия, от кражи данных до манипуляции устройствами.
Rafel RAT обладает широким набором функций, таких как возможность стирать SD-карты, удалять журналы вызовов, перехватывать уведомления и даже действовать как программа-вымогатель.
Ранее специалисты Check Point уже фиксировали использование Rafel RAT группой DoNot Team в кибератаках, которые использовали уязвимость в Foxit Reader для обмана пользователей. Эта кампания, прошедшая в апреле 2024 года, использовала PDF-файлы с военной тематикой для доставки вредоносного ПО.
Check Point идентифицировала около 120 различных злонамеренных кампаний, некоторые из которых были направлены на высокопрофильные объекты в таких странах, как Австралия, Китай, Чехия, Франция, Германия, Индия, Индонезия, Италия, Новая Зеландия, Пакистан, Румыния, Россия и США.
Большинство жертв Rafel RAT использовали телефоны Samsung, за ними следовали пользователи Xiaomi, Vivo и Huawei. Более 87,5% инфицированных устройств работали на устаревших версиях Android, которые больше не получают обновления безопасности.
Типичные цепочки атак включали социальную инженерию, чтобы манипулировать жертвами и заставить их предоставить приложениям с вредоносным ПО доступ к конфиденциальным данным, таким как контактная информация, SMS-сообщения, местоположение и журналы вызовов.
Rafel RAT в основном использует HTTP(S) для C2-коммуникаций, но также может использовать API Discord для связи с серверами злоумышленников. Кроме того, инструмент имеет PHP-панель управления, которую зарегистрированные пользователи могут использовать для управления скомпрометированными устройствами.
Эффективность этого инструмента подтверждается его применением в операции по вымогательству, проведённой атакующим, предположительно из Ирана, который отправил записку с требованием выкупа на арабском языке через SMS, призывая жертву из Пакистана связаться с ним в Telegram.
Эксперты Check Point отметили, что Rafel RAT является ярким примером эволюции Android-вредоносов, характеризующегося открытым исходным кодом, обширным набором функций и широким применением в различных незаконных действиях.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.