Siber casusluk grupları da dahil olmak üzere çok sayıda tehdit aktörü, açık kaynaklı bir Android uzaktan yönetim aracı kullanıyor. Raphael RAT Instagram, WhatsApp ve çeşitli e-ticaret ve antivirüs uygulamaları kılığına girerek operasyonel hedeflerine ulaşmak için.
Check Point geçen hafta yayınlanan bir analizde, “Kötü niyetli aktörlere uzaktan yönetim ve kontrol için güçlü bir araç seti sağlayarak, veri hırsızlığından cihaz manipülasyonuna kadar çeşitli kötü amaçlı faaliyetlere olanak tanıyor” dedi.
SD kartları silme, çağrı kayıtlarını silme, bildirimleri sifonlama ve hatta fidye yazılımı gibi davranma gibi çok çeşitli özelliklere sahiptir.
Rafel RAT’ın DoNot Team (APT-C-35, Brainworm ve Origami Elephant olarak da bilinir) tarafından kullanıldığı daha önce İsrailli siber güvenlik şirketi tarafından, kullanıcıları kötü amaçlı yükleri indirmeleri için kandırmak amacıyla Foxit PDF Reader’daki bir tasarım hatasından yararlanan siber saldırılarda vurgulanmıştı.
Nisan 2024’te gerçekleştirilen kampanyada, kötü amaçlı yazılımı dağıtmak için askeri temalı PDF yemleri kullanıldığı söyleniyor.
Check Point, Avustralya, Çin, Çekya, Fransa, Almanya, Hindistan, Endonezya, İtalya, Yeni Zelanda, Pakistan, Romanya, Rusya gibi çeşitli ülkeleri kapsayan, bazıları yüksek profilli kuruluşları hedef alan yaklaşık 120 farklı kötü amaçlı kampanya tespit ettiğini söyledi. BİZ
“Kurbanların çoğunluğunun Samsung telefonları vardı ve hedeflenen kurbanlar arasında ikinci en büyük grubu Xiaomi, Vivo ve Huawei kullanıcıları oluşturuyordu.” diyen raporda, virüslü cihazların en az %87,5’inin güncelliğini kaybetmiş Android çalıştırdığı da belirtildi. artık güvenlik düzeltmeleri almayan sürümler.
Tipik saldırı zincirleri, iletişim bilgileri, SMS mesajları (örn. 2FA kodları), konum, çağrı kayıtları ve yüklü olanların listesi gibi hassas verileri ele geçirmek amacıyla kurbanları kötü amaçlı yazılım içeren uygulamalara izinsiz izinler vermeleri için manipüle etmek amacıyla sosyal mühendisliğin kullanılmasını içerir. diğerlerinin yanı sıra uygulamalar.
Rafel RAT, komuta ve kontrol (C2) iletişimleri için öncelikle HTTP(S)’yi kullanıyor ancak tehdit aktörleriyle iletişim kurmak için Discord API’lerini de kullanabiliyor. Ayrıca kayıtlı kullanıcıların güvenliği ihlal edilmiş cihazlara komut vermek için kullanabileceği PHP tabanlı bir C2 paneliyle birlikte gelir.
Aracın çeşitli tehdit aktörleri üzerindeki etkinliği, Pakistan’daki bir kurbanı Telegram üzerinden kendisiyle iletişime geçmeye çağıran bir SMS aracılığıyla Arapça yazılmış bir fidye notu gönderen, muhtemelen İran kökenli bir saldırgan tarafından gerçekleştirilen bir fidye yazılımı operasyonunda kullanılmasıyla da doğrulanıyor.
Check Point, “Rafel RAT, açık kaynak yapısı, kapsamlı özellik seti ve çeşitli yasa dışı faaliyetlerde yaygın kullanımı ile karakterize edilen, gelişen Android kötü amaçlı yazılım ortamının güçlü bir örneğidir” dedi.
“Rafel RAT’ın yaygınlığı, Android cihazları kötü amaçlı kullanıma karşı korumak için sürekli dikkat ve proaktif güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.”