یک بدافزار OpenSource اندروید به نام «Rafel RAT» به طور گسترده توسط چندین مجرم سایبری برای حمله به دستگاه‌های قدیمی استفاده می‌شود. یکی از اهداف این بدافزار قفل کردن گوشی های اندرویدی و دریافت باج از صاحب گوشی می باشد. این باج از طریق تلگرام درخواست می شود.

محققان امنیتی نظیر Antonis Terefos و Bohdan Melnykov در Check Point گزارش دادند که بیش از ۱۲۰ کمپین را با استفاده از بدافزار Rafel RAT را شناسایی کردند.

این بد افزار چه کسانی را تحدید میکند؟

از جمله هکرهای معروفی که از این بدافزار استفاده میکنند می توان به  APT-C-35 (تیم DoNot) نام برد. در حالی که در موارد دیگر، ایران و پاکستان به‌عنوان منشأ فعالیت‌های مخرب تعیین شده‌اند.

در مورد اهداف، Check Point به هدف‌گیری موفق سازمان‌های برجسته، از جمله در بخش دولتی و نظامی اشاره می‌کند که بیشتر قربانیان از ایالات متحده، چین و اندونزی هستند.

در بیشتر مواردی که Check Point مورد بررسی قرار داده است، قربانیان از نسخه های قدیمی اندروید استفاده میکردند، که به پایان عمر (EoL) رسیده بود و دیگر به‌روزرسانی‌های امنیتی را دریافت نمی‌کردند و همین موضوع باعث می شود که در برابر نقص‌های امنیتی اسیب پذیر باشند.

این بد افزار بیشتر در نسخه اندروید ۱۱ می باشد که بیش از ۸۷٫۵ درصد از قربانیان را تشکیل می دهد. تنها ۱۲٫۵ درصد از دستگاه های آلوده از نسخه اندروید ۱۲ یا ۱۳ استفاده می کردند.

در مورد برندها و مدل‌های هدف، ترکیبی از همه چیز وجود دارد، از جمله Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, OnePlus, Vivo  و Huawei .

این موضوع ثابت می کند که Rafel RAT یک ابزار حمله موثر علیه مجموعه ای از دستگاه های مختلف اندروید است.

کارکرد Rafel RAT چگونه است؟

هکرها معمولاً از پلتفورم های شناخته شده مانند اینستاگرام، واتس‌اپ، پلتفرم‌های تجارت الکترونیک یا برنامه‌های آنتی ویروس سوء استفاده می‌کنند تا افراد را فریب دهند تا فایل‌های APK مخرب را دانلود کنند.

در حین نصب، درخواست دسترسی به مجوزهای خطرناکی از جمله ؛ معافیت از بهینه سازی باتری، اجازه اجرا در پس زمینه را می کند.

اثرات مهمی که این بدافزار می گذارد عبارت اند از :

ransomware: فرآیند رمزگذاری فایل را در دستگاه شروع می کند.

location_tracker: مکان زنده دستگاه را به سرور C2 افشا می کند.

wipe: تمام فایل های موجود در مسیر مشخص شده را حذف می کند.

LockTheScreen: صفحه دستگاه را قفل می کند و دستگاه را غیرقابل استفاده می کند.

sms_oku: تمام پیامک ها (و کدهای ۲FA) را به سرور فرمان و کنترل (C2) درز می کند.