Android’in birçok özelliği ve uygulamalara erişimi vardır ancak açık kaynak yapısı nedeniyle güvenlik risklerine açıktır.
Android kötü amaçlı yazılımları, virüsleri, Truva atları, fidye yazılımları, casus yazılımları ve reklam yazılımı programları, kullanıcıların veri gizliliğini ve bütünlüğünü tehdit eder.
Bu tehditler; uygulama indirmeleri, kötü amaçlı siteler, kimlik avı ve sistem açıkları dahil olmak üzere farklı saldırı vektörlerinden yararlanır.
Saldırganların kaçırma teknikleri daha karmaşık hale geldikçe, Android kötü amaçlı yazılımlarını anlamak zorunlu hale geliyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
CheckPoint’teki siber güvenlik araştırmacıları, Android cihazlardaki kötü amaçlı faaliyetler için uzaktan yönetime olanak tanıyan açık kaynaklı bir araç olan Rafel RAT’ı belirledi. Sonuç olarak, Android ekosistemindeki güvenlik önlemlerinin iyileştirilmesine güçlü bir ihtiyaç var.
Android Rafel RAT
Check Point Research, dünya çapında yüksek profilli kuruluşları hedef alan yaklaşık 120 kötü amaçlı kampanyanın, birden fazla tehdit aktörü tarafından kullanılan açık kaynaklı bir Android RAT olan Rafel’i kullandığını keşfetti.
Ancak Rafel, diğer şeylerin yanı sıra güvenliği ihlal edilmiş bir sistem ağına veya cihazına uzaktan erişim için de kullanılabilir.
Sıklıkla hedef alınanlar, Samsung, Google ve Xiaomi gibi eski Android sürümlerine sahip olan ve kurban haline gelen cihazlardı.
Kötü amaçlı yazılım tıpkı gerçek uygulamalardan biri gibi görünüyor, izin istiyor ve HTTP(S) üzerinden C&C sunucularıyla iletişim kuruyor. Bilgisayar korsanları, PHP panelini kullanarak virüslü cihazları izler ve kontrol eder.
Sadece onlar bile hassas bilgileri alıp uzaktan komutları yürütebilirler.
Bu, fidye yazılımı operasyonları, 2FA atlamaları ve devlet sitesi hack’leri dahil olmak üzere gözlemlenen kötü amaçlı faaliyetlerle Android ekosistemindeki önemli riskleri vurgulamaktadır.
Rafel, ekranları kilitlemek, kaldırma işlemlerini engellemek ve dosyaları şifrelemek veya silmek için DeviceAdmin yetkilerini kullanır.
Bu, cihazların güvenliğini ihlal etmek ve şantaj açılır pencereleri göstermek için kullanılan, Rafel kötü amaçlı yazılımı aracılığıyla Pakistanlı bir kurbanı hedef alan yakın tarihli bir İran kampanyası olabilir.
Yine de aynı bilgisayar korsanı Pakistan hükümetinin sitelerinden birine sızdı ve Rafel için bir C&C portalı kurdu.
Farklı ülkelere odaklanan tehdit aktörlerine son derece uyarlanabilir hale getiren, 2FA’yı atlama gibi seçenekler de dahil olmak üzere çok çeşitli özelliklere sahip açık kaynaklı bir programdır.
Sonuç olarak, Android güvenlik önlemleri, tehdit istihbaratı, uç nokta koruması, kullanıcı eğitimi ve bilgi güvenliği ekosistemi içindeki paydaşlar arasında işbirliği gibi doğası gereği savunma amaçlı olmalıdır.
IOC’ler
SHA256:-
- d1f2ed3e379cde7375a001f967ce145a5bba23ca668685ac96907ba8a0d29320
- 442fbbb66efd3c21ba1c333ce8be02bb7ad057528c72bf1eb1e07903482211a9
- 344d577a622f6f11c7e1213a3bd667a3aef638440191e8567214d39479e80821
- c94416790693fb364f204f6645eac8a5483011ac73dba0d6285138014fa29a63
- 9b718877da8630ba63083b3374896f67eccdb61f85e7d5671b83156ab182e4de
- 5148ac15283b303357107ab4f4f17caf00d96291154ade7809202f9ab8746d0b
Komuta ve Kontrol Sunucuları: –
- bölge yargısıcharsadda.gov[.]pk
- kafila001.000webhostapp[.]iletişim
- uni2phish[.]ru
- zetalinkler[.]teknoloji
- ashrat.000webhostapp[.]iletişim
- bazfinç[.]xyz
- discord-rat23.000webhostapp[.]iletişim
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free