多个黑客组织部署开源 Rafel RAT 攻击 Android 设备

包括网络间谍组织在内的多个黑客组织正在使用名为Rafel RAT 的开源 Android 远程管理工具来伪装成 Instagram、WhatsApp 以及各种电子商务和防病毒应用程序来达到恶意目的。

Check Point在上周发布的分析报告（https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/）中表示：“Rafel RAT 为恶意攻击提供了强大的远程管理和控制工具包，可实施从数据盗窃到设备操纵等一系列恶意活动。”

Rafel RAT 拥有广泛的功能，例如擦除 SD 卡、删除通话记录、窃取通知，甚至充当勒索软件。

此前，以色列网络安全公司DoNot 团队（又名 APT-C-35、Brainworm 和 Origami Elephant）曾利用 Rafel RAT发起网络攻击，利用 Foxit PDF Reader 的设计缺陷诱骗用户下载恶意负载。

Check Point 发布的安全报告显示，新的攻击活动发生在 2024 年 4 月，利用军事主题的 PDF 诱饵来传播恶意软件。

Check Point 发现了大约 120 个不同的恶意活动，其中一些针对知名实体，涉及澳大利亚、中国、捷克、法国、德国、印度、印度尼西亚、意大利、新西兰、巴基斯坦、罗马尼亚、俄罗斯和美国等多个国家。

报告指出：“大多数受害者使用三星手机，小米、Vivo 和华为用户是第二大目标受害者群体。”并补充说，不少于 87.5% 的受感染设备运行的是过时的 Android 版本，不再收到安全更新。

典型的攻击链涉及使用社会工程学来操纵受害者，授予带有恶意软件的应用程序侵入性权限，以便获取敏感数据，如联系信息、短信（例如，2FA 代码）、位置、通话记录和已安装应用程序的列表等。

Rafel RAT 主要使用 HTTP(S) 进行命令与控制 (C2) 通信，但它也可以利用 Discord API 联系攻击者。它还附带一个基于 PHP 的 C2 面板，注册用户可以利用该面板向受感染的设备发出命令。

该工具在各种攻击者组织中的有效性得到了证实，因为它在一次勒索软件行动中的部署，该行动由一名可能来自伊朗的攻击者实施，攻击者通过短信发送了一封用阿拉伯语写的勒索信，敦促巴基斯坦的一名受害者通过 Telegram 与他们联系。

Check Point 表示：“Rafel RAT 是 Android 恶意软件不断发展的一个有力例证，其特点是开源、广泛的功能集，以及在各种非法活动中的广泛利用。”

“Rafel RAT 的流行凸显了需要持续警惕并采取主动的安全措施来保护 Android 设备免遭恶意攻击。”

参考链接：https://thehackernews.com/2024/06/iranian-hackers-deploy-rafel-rat-in.html

讲述普通人能听懂的安全故事