Android 设备的新型威胁

Check Point Research 发布了一份综合报告，详细介绍了 Rafel RAT 的惊人增长。Rafel RAT 是一种开源Android 恶意软件，已被各种威胁行为者（从间谍组织到勒索软件运营商）利用。该恶意软件的多功能性和复杂功能使攻击者能够进行各种恶意活动，这引起了全球 Android 用户的极大担忧。

一项重大发现表明，一个间谍组织在其行动中利用了 Rafel，凸显了该工具在开展秘密行动和渗透高价值目标方面的威力。值得注意的是，高级持续性威胁 (APT) 组织 APT-C-35（也称为 DoNot 团队）已被确定为使用 Rafel RAT 的参与者之一。

Check Point Research 观察到大约 120 起利用 Rafel 的不同恶意攻击活动，其中一些成功攻击了包括军事部门在内的知名组织。大多数受害者来自美国、中国和印度尼西亚，但攻击的地理范围很广。

由于泄露数据的性质，这些活动的风险特别高。例如，受害者的电话簿被泄露可能会泄露有关其他联系人的敏感信息，从而促进组织内部的横向移动。此外，被盗的双因素身份验证 (2FA) 消息可能会导致多个帐户被盗用。

大多数受害者使用的是三星手机，其次是小米、Vivo 和华为用户。这与这些设备在各个市场的受欢迎程度相对应。有趣的是，大多数受害者运行的是较旧的 Android 版本，不再支持安全更新，这使得他们特别容易受到此类攻击。

Rafel RAT 在 Android 设备上秘密运行，利用欺骗手段操纵用户信任并利用他们的互动。启动后，恶意软件会寻求必要的权限，并可能请求添加到允许列表中，以确保其在系统中的持久性。

该恶意软件冒充了多个广为人知的应用程序，包括 Instagram、WhatsApp 和各种电子商务平台。根据攻击者的修改，该恶意软件可能会请求通知或设备管理员权限，或寻求最低限度的敏感权限，例如短信、通话记录和联系人。

激活后，Rafel RAT 会部署一项后台服务，该服务会在隐蔽操作的同时生成带有欺骗性标签的通知。它会启动一个 InternalService 来管理与命令和控制 (C&C) 服务器的通信。通信通过 HTTP(S) 协议进行，从客户端与服务器交互的初始阶段开始，包括将设备信息传输到 C&C 服务器并请求在设备上执行的命令。

受支持的命令范围及其名称可能因特定恶意软件变体而异。这些命令包括泄露电话簿和短信数据、发送短信、泄露实时位置、锁定设备屏幕、启动文件加密过程等。

管理员登录页面 | 图片：Check Point Research

使用 Rafel RAT 的威胁者会获得一个 PHP 面板，该面板无需传统数据库设置即可运行，并且依靠 JSON 文件进行存储和管理。通过此界面，威胁者可以监视和控制受感染的移动设备，检索联系人详细信息、短信等。

Check Point Research 对特定活动进行了深入分析，发现对在 Android 生态系统中运营的个人和公司存在严重危险。值得注意的是，Rafel RAT 已用于勒索软件操作，利用设备管理功能防止卸载并使用 AES 加密加密文件。在一个案例中，威胁行为者（可能来自伊朗）在受害者的设备上执行了勒索软件命令，锁定屏幕并显示赎金通知。

此外，Rafel RAT 还被用于窃取 2FA 消息，使攻击者能够绕过额外的安全措施并获得对敏感账户的未经授权的访问。威胁行为者还针对政府基础设施，在被黑客入侵的巴基斯坦政府网站上安装了 Rafel 网络面板。

有关技术分析和保护措施的更多详细信息和进一步见解，请参阅Antonis Terefos 和 Bohdan Melnykov 撰写的完整Check Point Research 报告。

详细报告

https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/

原文始发于微信公众号（独眼情报）：Android 设备的新型威胁