Açık kaynaklı Rafel RAT, birden fazla tehdit aktörü tarafından Android cihazları tehlikeye atmak ve bazı durumlarda onları kilitlemek, içeriklerini şifrelemek ve cihazı orijinal durumuna geri döndürmek için para talep etmek amacıyla kullanılıyor.
Check Point araştırmacıları, kötü amaçlı yazılımdan yararlanan ve başta ABD, Çin, Hindistan ve Endonezya olmak üzere dünya çapındaki cihazlara saldıran yaklaşık 120 farklı kötü amaçlı kampanya gözlemledi.
“Kurbanların çoğunluğunun Samsung telefonları vardı ve hedeflenen kurbanlar arasında ikinci en büyük grubu Xiaomi, Vivo ve Huawei kullanıcıları oluşturuyordu” diye paylaştılar.
Rafel RAT ile hedeflenen en iyi cihaz modelleri (Kaynak: Check Point Research)
Rafel RAT Android cihazlara giriyor
Başarılı bir kurulumun ardından Rafel RAT gizlice çalışır ve tehdit aktörlerinin şunları yapmasına olanak tanır:
- Google Play Korumayı Atlayın
- Cihaz bilgilerini (tanımlayıcılar, yerel ayar, ülke, operatör ayrıntıları, model özellikleri, kök durumu), konum bilgilerini ve yüklü uygulamaların listesini sızdırın
- Kurbanın telefon rehberini, SMS’lerini, çağrı kayıtlarını ve dosyalarını sızdırın
- Dosyaları ve arama geçmişini silin, dosyaları şifreleyin, cihazın duvar kağıdını değiştirin, cihaz ekranını kilitleyin, kurbana belirli bir mesajı gösterin veya oynatın (farklı dillerde)
Kötü amaçlı yazılım, saldırganların ele geçirilen cihazlarla ilgili bilgileri görebildiği ve onlara komutlar gönderebildiği bir PHP paneli aracılığıyla çalıştırılıyor.
Araştırmacılar, “Birincil iletişim kanalına ek olarak, kötü amaçlı yazılımın başlangıçta Discord API aracılığıyla hızlı mesajlar gönderebildiğini” belirtti. “Katılım süreci sırasında saldırgana yeni bir kurbanın ortaya çıktığını bildiriyor. Bu, saldırganların hızlı bir şekilde yanıt vermesini ve ele geçirilen cihazdan gerekli verileri çıkarmasını sağlıyor.”
Kötü amaçlı yazılım, cihaz iletişimlerinin içeriğini de aynı şekilde gönderdi. “Bu, saldırganların mesajlaşma platformları aracılığıyla gönderilen 2FA kodlarını yakalamak gibi hassas verileri diğer uygulamalardan çekmesine olanak tanıyor.”
Güncelliğini yitirmiş cihazlar saldırı altında
Daha önce de belirtildiği gibi Check Point araştırmacıları, genellikle kullanıcıları Instagram, WhatsApp, popüler e-ticaret platformları, antivirüs uygulamaları vb. meşru görünen uygulamaları yüklemeye kandırarak Rafel RAT’tan yararlanan yaklaşık 120 kampanyayı ortaya çıkardı.
Kullanıcılardan, uygulamanın hassas bilgileri almasına olanak tanıyan Bildirimler veya Cihaz Yöneticisi haklarına ve izinlerine sahip olmasına izin vermeleri istenir.
“En çok etkilenen kurbanlar arasında Android sürümlerinin dağılımını görmek ilgi çekici. Araştırmacılar, Android 11’in en yaygın olanı olduğunu, onu 8 ve 5 sürümlerinin takip ettiğini belirtti.
“Etkilenen kurbanların %87’sinden fazlası artık desteklenmeyen Android sürümlerini çalıştırıyor ve dolayısıyla güvenlik düzeltmeleri almıyor.”
Tehdit aktörlerinden bazıları, kötü amaçlı yazılımı, kimlik avı saldırıları düzenlemek veya çok faktörlü kimlik doğrulamayla korunan hesapları ele geçirmek için kullanabilecekleri hassas bilgileri çıkarmak için kullanıyor.
Ancak araştırmacılar aynı zamanda Rafel RAT’ı kullanan bir fidye yazılımı operasyonu da tespit etti: Tehdit aktörleri önce bilgileri alıyor ve ardından cihazı şifreleyip kilitleyip şifrelemeyeceklerini ve fidye isteyip istemeyeceklerini belirliyor.
“Fidye yazılımı” işlevi de son çare olarak başvurulacak bir önlemdir: “Bir kullanıcı uygulamadaki yönetici ayrıcalıklarını iptal etmeye çalışırsa, derhal şifreyi değiştirir ve ekranı kilitleyerek herhangi bir müdahale girişimini engeller.”