Rafel RAT
Mehrere Bedrohungsakteure, darunter Cyber-Spionagegruppen, verwenden ein Open-Source-Android-Remote-Administrationstool namens Rafel RAT. Sie tarnen es als beliebte Anwendungen wie Instagram, WhatsApp und verschiedene E-Commerce- und Anti-Malware-Anwendungen, um ihre schädlichen Ziele zu erreichen.
Das Rafel RAT stellt diesen Akteuren ein robustes Toolkit für die Fernverwaltung und -steuerung zur Verfügung und ermöglicht damit verschiedene schändliche Aktivitäten wie Datendiebstahl und Gerätemanipulation. Zu seinen umfangreichen Funktionen gehören das Löschen von SD-Karten, das Löschen von Anrufprotokollen, das Abfangen von Benachrichtigungen und sogar die Funktion als Ransomware.
Inhaltsverzeichnis
Der Rafael RAT wurde in zahlreichen Angriffskampagnen entdeckt
Cybersicherheitsexperten haben bereits zuvor auf die Verwendung des Rafel RAT durch APT-C-35 (auch bekannt als DoNot Team, Brainworm und Origami Elephant) bei Angriffen hingewiesen, bei denen ein Konstruktionsfehler in Foxit PDF Reader ausgenutzt wurde, um Benutzer zum Herunterladen bedrohlicher Payloads zu verleiten. Bei dieser Kampagne, die im April 2024 stattfand, wurden PDF-Köder mit militärischem Thema verwendet, um die Malware zu verbreiten.
Experten haben etwa 120 verschiedene schädliche Kampagnen identifiziert, darunter einige, die sich gegen hochrangige Unternehmen richten, in verschiedenen Ländern wie Australien, China, Tschechien, Frankreich, Deutschland, Indien, Indonesien, Italien, Neuseeland, Pakistan, Rumänien, Russland und den USA.
Die Mehrheit der Opfer besaß Samsung-Telefone, gefolgt von Nutzern von Xiaomi-, Vivo- und Huawei-Geräten. Bemerkenswert ist, dass rund 87,5 % der infizierten Geräte veraltete Android-Versionen verwendeten, die keine Sicherheitsupdates mehr erhalten.
Der Rafel RAT kann eine Vielzahl sensibler Daten kompromittieren
Typische Angriffsketten beinhalten Social-Engineering-Taktiken, um Opfer dazu zu bringen, aufdringliche Berechtigungen für mit Malware infizierte Anwendungen zu erteilen. Diese Berechtigungen ermöglichen es der Malware, vertrauliche Daten zu sammeln, darunter Kontaktinformationen, SMS-Nachrichten (wie 2FA-Codes), Standort, Anrufprotokolle und Listen installierter Anwendungen sowie andere Daten.
Der Rafel RAT verwendet hauptsächlich HTTP(S) für Command-and-Control (C2)-Kommunikation, kann aber auch Discord-APIs verwenden, um mit Bedrohungsakteuren zu kommunizieren. Darüber hinaus verfügt es über ein PHP-basiertes C2-Panel, über das registrierte Benutzer Befehle an kompromittierte Geräte senden können.
Android-Nutzer bleiben ein häufiges Ziel von Cyberkriminellen
Die Wirksamkeit des Tools gegenüber verschiedenen Bedrohungsakteuren wird durch seine Beteiligung an einer Ransomware-Operation bestätigt, die von einem vermutlich aus dem Iran stammenden Angreifer durchgeführt wurde. Der Angreifer schickte per SMS eine Lösegeldforderung auf Arabisch und forderte ein Opfer in Pakistan auf, ihn über Telegram zu kontaktieren.
Der Rafel RAT ist ein Beispiel für die sich entwickelnde Welt der Android-Malware. Er zeichnet sich durch sein Open-Source-Design, seine umfassende Palette an Funktionen und seinen umfangreichen Einsatz bei verschiedenen illegalen Aktivitäten aus. Seine weit verbreitete Verwendung unterstreicht die Bedeutung ständiger Wachsamkeit und proaktiver Sicherheitsmaßnahmen, um Android-Geräte vor schädlicher Ausbeutung zu schützen.
