یک بدافزار OpenSource اندروید به نام «Rafel RAT» به طور گسترده توسط چندین مجرم سایبری برای حمله به دستگاههای قدیمی استفاده میشود. یکی از اهداف این بدافزار قفل کردن گوشی های اندرویدی و دریافت باج از صاحب گوشی می باشد. این باج از طریق تلگرام درخواست می شود.
محققان امنیتی نظیر Antonis Terefos و Bohdan Melnykov در Check Point گزارش دادند که بیش از ۱۲۰ کمپین را با استفاده از بدافزار Rafel RAT را شناسایی کردند.
این بد افزار چه کسانی را تحدید میکند؟
از جمله هکرهای معروفی که از این بدافزار استفاده میکنند می توان به APT-C-35 (تیم DoNot) نام برد. در حالی که در موارد دیگر، ایران و پاکستان بهعنوان منشأ فعالیتهای مخرب تعیین شدهاند.
در مورد اهداف، Check Point به هدفگیری موفق سازمانهای برجسته، از جمله در بخش دولتی و نظامی اشاره میکند که بیشتر قربانیان از ایالات متحده، چین و اندونزی هستند.
در بیشتر مواردی که Check Point مورد بررسی قرار داده است، قربانیان از نسخه های قدیمی اندروید استفاده میکردند، که به پایان عمر (EoL) رسیده بود و دیگر بهروزرسانیهای امنیتی را دریافت نمیکردند و همین موضوع باعث می شود که در برابر نقصهای امنیتی اسیب پذیر باشند.
این بد افزار بیشتر در نسخه اندروید ۱۱ می باشد که بیش از ۸۷٫۵ درصد از قربانیان را تشکیل می دهد. تنها ۱۲٫۵ درصد از دستگاه های آلوده از نسخه اندروید ۱۲ یا ۱۳ استفاده می کردند.
در مورد برندها و مدلهای هدف، ترکیبی از همه چیز وجود دارد، از جمله Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, OnePlus, Vivo و Huawei .
این موضوع ثابت می کند که Rafel RAT یک ابزار حمله موثر علیه مجموعه ای از دستگاه های مختلف اندروید است.
کارکرد Rafel RAT چگونه است؟
هکرها معمولاً از پلتفورم های شناخته شده مانند اینستاگرام، واتساپ، پلتفرمهای تجارت الکترونیک یا برنامههای آنتی ویروس سوء استفاده میکنند تا افراد را فریب دهند تا فایلهای APK مخرب را دانلود کنند.
در حین نصب، درخواست دسترسی به مجوزهای خطرناکی از جمله ؛ معافیت از بهینه سازی باتری، اجازه اجرا در پس زمینه را می کند.
اثرات مهمی که این بدافزار می گذارد عبارت اند از :
ransomware: فرآیند رمزگذاری فایل را در دستگاه شروع می کند.
location_tracker: مکان زنده دستگاه را به سرور C2 افشا می کند.
wipe: تمام فایل های موجود در مسیر مشخص شده را حذف می کند.
LockTheScreen: صفحه دستگاه را قفل می کند و دستگاه را غیرقابل استفاده می کند.
sms_oku: تمام پیامک ها (و کدهای ۲FA) را به سرور فرمان و کنترل (C2) درز می کند.
