Η Check Point Research (CPR) έχει εντοπίσει πολλαπλές καμπάνιες που αξιοποιούν το Rafel, ένα εργαλείο απομακρυσμένης διαχείρισης ανοιχτού κώδικα (RAT) που στοχεύει τηλέφωνα Android (που χρησιμοποιούνται από περισσότερους από 3,9 δισεκατομμύρια ανθρώπους παγκοσμίως). Μεταξύ άλλων έχει αποκαλυφθεί η χρήση του σε επιχειρήσεις κατασκοπείας (απομακρυσμένη παρακολούθηση, εξαγωγή δεδομένων) και ransomware.
Το θύμα εξαπατάται (μέσω μηνυμάτων / συνομιλιών κ.λπ.) για να κατεβάσει εφαρμογές που μιμούνται δημοφιλείς υπηρεσίες (μέσα κοινωνικής δικτύωσης, οικονομικές, εκπαιδευτικές και άλλες) και με την εγκατάσταση των εφαρμογών, το κακόβουλο λογισμικό εισέρχεται στο κινητό τηλέφωνο, επιτρέποντας διαφορετικά είδη δυνατοτήτων από κατασκοπεία έως ransomware. Έχουν παρατηρηθεί πάνω από 120 καμπάνιες σε μια περίοδο 2 ετών σε πολλές χώρες παγκοσμίως, παρακάμπτοντας διάφορες διαδικασίες ασφαλείας για τη διατήρηση των χρηστών κινητών συσκευών ασφαλών από χάκερ.
Οι καμπάνιες έθεσαν σε κίνδυνο συσκευές Android, κυρίως στις Ηνωμένες Πολιτείες, την Κίνα, την Ινδονησία, τη Ρωσία, την Ινδία, τη Γαλλία, τη Γερμανία και το Ηνωμένο Βασίλειο.
Τα κύρια συμπεράσματα της συνημμένης έκθεσης
• Εκτεταμένος Αντίκτυπος: Το Rafel RAT αξιοποιείται σε πάνω από 120 καμπάνιες, επηρεάζοντας κυρίως χρήστες σε Ηνωμένες Πολιτείες, Κίνα και Ινδονησία. • Μολύνσεις Συσκευών: Η πλειονότητα των παραβιασμένων συσκευών αφορά τηλέφωνα των μαρκών Samsung, Xiaomi, Vivo και Huawei, αντικατοπτρίζοντας τη διάδοση αυτών των εμπορικών σημάτων στην αγορά. • Εκδόσεις Android: Οι περισσότερες μολυσμένες συσκευές χρησιμοποιούν παλαιότερες εκδόσεις Android, κάτι που τονίζει την ανάγκη για συχνές ενημερώσεις και βελτιώσεις της ασφάλειας των συστημάτων. • Ποικιλία Απειλών: Το Rafel RAT προσφέρει δυνατότητες που κυμαίνονται από κατασκοπεία μέχρι ransomware, με δυνατότητες για απομακρυσμένη πρόσβαση, επιτήρηση, κλοπή δεδομένων και ακόμα και κρυπτογράφηση αρχείων των θυμάτων.
Αξιοσημείωτες περιπτώσεις:
- Συμβιβασμός Κυβερνητικού Ιστότοπου: Το Rafel RAT ανιχνεύθηκε να φιλοξενείται σε παραβιασμένο κυβερνητικό ιστότοπο στο Πακιστάν, με την λειτουργία ανακατεύθυνσης μολυσμένων συσκευών προς τον εν λόγω διακομιστή.
- Λειτουργίες Ransomware: Το Rafel RAT έχει χρησιμοποιηθεί για κρυπτογράφηση αρχείων σε συσκευές, απαιτώντας λύτρα για την αποκρυπτογράφησή τους.
- Παράκαμψη 2FA: Αυτό το κακόβουλο λογισμικό συνδέεται επίσης με την κλοπή μηνυμάτων επιβεβαίωσης διπλού παράγοντα ασφαλείας, καθιστώντας την πιθανή παράκαμψη αυτού του ζωτικής σημασίας μέτρου ασφάλειας.
Συστάσεις ασφαλείας για χρήστες Android:
- Λήψη εφαρμογών από αξιόπιστες πηγές: Εγκαταστήστε εφαρμογές μόνο από αξιόπιστα καταστήματα όπως το Google Play. Αποφύγετε πηγές τρίτων.
- Διατηρήστε το λογισμικό ενημερωμένο: Οι τακτικές ενημερώσεις διασφαλίζουν ότι οι συσκευές λαμβάνουν κρίσιμες ενημερώσεις κώδικα ασφαλείας.
- Χρησιμοποιήστε λύσεις ασφάλειας για κινητά: Οι αξιόπιστες εφαρμογές ασφαλείας παρέχουν προστασία σε πραγματικό χρόνο από κακόβουλο λογισμικό και άλλες απειλές.
Τρόπος λειτουργίας:
- Το Rafel RAT συμμετέχει σε καμπάνιες ηλεκτρονικού ψαρέματος, όπου τα θύματα εξαπατώνται για να εγκαταστήσουν κακόβουλα APKs που μεταμφιέζονται με ψεύτικο όνομα και εικονίδιο, ζητούν εκτεταμένες άδειες, εμφανίζουν νόμιμους ιστότοπους, τους οποίους προσπαθεί να μιμηθεί και στη συνέχεια, παρακολουθούν κρυφά τη συσκευή και διαρρέουν δεδομένα.
Το Rafel RAT έχει την δυνατότητα να αποκρύπτει την παρουσία του με τη μορφή των παρακάτω ειδών εφαρμογών:
- Apps store (Google Store, BlackMart, BlackMart-MOD)
- Social (La Morocha, Instagram, BOOYAH, Black WhatsApp)
- Finance (PicPay, RM Trade, Mercado Pago)
- Maps & Navigation (PlamThaiDriver)
- Lifestyle (EHSAN)
- Education (DASNHS)
- Tools (MOTU CC CHECKER, Goxome: Modern Menu System)
- Hacking Tools (Κιτ εργαλείων αντίστροφης μηχανικής)
- Άλλα (ScammersExposed, UR RAT, Lite App, BEKU-DANA)
Σύμφωνα με τον Alexander Chailytko, Cyber Security, Research & Innovation Manager στην Check Point Software Technologies:
“Το Rafel RAT είναι ακόμα μια υπενθύμιση του τρόπου με τον οποίο η τεχνολογία κακόβουλου λογισμικού ανοιχτού κώδικα μπορεί να προκαλέσει σημαντική ζημιά, ειδικά όταν στοχεύει μεγάλα οικοσυστήματα όπως το Android, με πάνω από 3,9 δισεκατομμύρια χρήστες παγκοσμίως. Καθώς τα περισσότερα από τα θύματα εκτελούν μη υποστηριζόμενες εκδόσεις Android, είναι σημαντικό να διατηρείτε τις συσκευές σας ενημερωμένες με τις πιο πρόσφατες διορθώσεις ασφαλείας ή να τις αντικαθιστάτε εάν δεν τις λαμβάνουν πλέον. Οι εξέχοντες παράγοντες απειλής και ακόμη και οι ομάδες APT αναζητούν πάντα τρόπους για να αξιοποιήσουν τις λειτουργίες τους, ειδικά με τα άμεσα διαθέσιμα εργαλεία όπως το Rafel RAT, γεγονός που θα μπορούσε να οδηγήσει σε διαρροή κρίσιμων δεδομένων, χρησιμοποιώντας κωδικούς ελέγχου ταυτότητας δύο παραγόντων που έχουν διαρρεύσει, απόπειρες παρακολούθησης και μυστικές επιχειρήσεις, οι οποίες είναι ιδιαίτερα καταστροφικές όταν χρησιμοποιούνται εναντίον στόχων υψηλού προφίλ.