Цифровая эпидемия Rafel RAT охватила уже больше 15 стран

Согласно недавнему отчёту компании Check Point , киберпреступные группы, включая те, что преследуют своей целью кибершпионаж, в последнее время активно применяют открытый инструмент удалённого администрирования Android под названием Rafel RAT , маскируя его под Instagram*, WhatsApp и различные приложения для электронной коммерции и антивирусы.

Исследователи сообщили, что этот инструмент предоставляет злоумышленникам мощный набор возможностей для удалённого управления и контроля, что позволяет совершать различные злонамеренные действия, от кражи данных до манипуляции устройствами.

Rafel RAT обладает широким набором функций, таких как возможность стирать SD-карты, удалять журналы вызовов, перехватывать уведомления и даже действовать как программа-вымогатель.

Ранее специалисты Check Point уже фиксировали использование Rafel RAT группой DoNot Team в кибератаках, которые использовали уязвимость в Foxit Reader для обмана пользователей. Эта кампания, прошедшая в апреле 2024 года, использовала PDF-файлы с военной тематикой для доставки вредоносного ПО.

Check Point идентифицировала около 120 различных злонамеренных кампаний, некоторые из которых были направлены на высокопрофильные объекты в таких странах, как Австралия, Китай, Чехия, Франция, Германия, Индия, Индонезия, Италия, Новая Зеландия, Пакистан, Румыния, Россия и США.

Большинство жертв Rafel RAT использовали телефоны Samsung, за ними следовали пользователи Xiaomi, Vivo и Huawei. Более 87,5% инфицированных устройств работали на устаревших версиях Android, которые больше не получают обновления безопасности.

Типичные цепочки атак включали социальную инженерию, чтобы манипулировать жертвами и заставить их предоставить приложениям с вредоносным ПО доступ к конфиденциальным данным, таким как контактная информация, SMS-сообщения, местоположение и журналы вызовов.

Rafel RAT в основном использует HTTP(S) для C2 -коммуникаций, но также может использовать API Discord для связи с серверами злоумышленников. Кроме того, инструмент имеет PHP-панель управления, которую зарегистрированные пользователи могут использовать для управления скомпрометированными устройствами.

Эффективность этого инструмента подтверждается его применением в операции по вымогательству, проведённой атакующим, предположительно из Ирана, который отправил записку с требованием выкупа на арабском языке через SMS, призывая жертву из Пакистана связаться с ним в Telegram.

Эксперты Check Point отметили, что Rafel RAT является ярким примером эволюции Android-вредоносов, характеризующегося открытым исходным кодом, обширным набором функций и широким применением в различных незаконных действиях. Присутствие Rafel RAT в киберпространстве подчёркивает необходимость постоянной бдительности и проактивных мер безопасности для защиты устройств Android от злонамеренного использования.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.