Rafel RAT 恶意软件盯上了”过时“安卓手机

安全
Rafel RAT 恶意软件目标品牌和型号非常广泛,包括三星 Galaxy、谷歌 Pixel、小米红米、摩托罗拉 One 以及 OnePlus、vivo 和华为的设备。

威胁攻击者正在大量部署一种名为 "Rafel RAT "的开源恶意软件,攻击”过时“安卓设备。Check Point 安全研究人员 Antonis Terefos 和 Bohdan Melnykov 表示,共检测到超过 120 个使用 Rafel RAT 恶意软件的网络攻击活动。

据悉,Rafel RAT 恶意软件的攻击目标主要是政府和军事部门,大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35(DoNot Team)等知名勒索软件组织发起,伊朗和巴基斯坦疑似为恶意活动的源头。

Rafel RAT 恶意软件目标品牌和型号非常广泛,包括三星 Galaxy、谷歌 Pixel、小米红米、摩托罗拉 One 以及 OnePlus、vivo 和华为的设备。

Check Point 分析大量网络攻击活动后发现,受害者运行的安卓版本已达到生命周期终点(EoL),其中 87.5% 运行安卓 11 及以上版本,只有 12.5% 的受感染设备运行 Android 12 或 13。鉴于很多”过时“版本不再接受安全更新,因此容易受到已知/已发布漏洞的攻击。

Rafel RAT 勒索软件

恶意软件传播途径多种多样,威胁攻击者通常会滥用 Instagram、WhatsApp、电子商务平台或杀毒应用程序等知名品牌,诱骗人们下载恶意 APK。

捆绑 Rafel RAT 安装程序的虚假应用程序(来源:Check Point)

安装过程中,Rafel RAT 恶意软件会请求访问风险权限,包括免于电池优化,允许在后台运行。值得一提的是,Rafel RAT 恶意软件支持的命令因变种而异,但一般包括以下命令:

  • 勒索软件: 启动设备上的文件加密进程;
  • wipe: 删除指定路径下的所有文件;
  • 锁定屏幕: 锁定设备屏幕,使设备无法使用;
  • sms_oku: 向命令与控制 (C2) 服务器泄漏所有短信(和 2FA 代码);
  • location_tracker: 向 C2 服务器泄露实时设备位置。

Rafel RAT 恶意软件的行动由中央面板控制,威胁攻击者可在此访问设备和状态信息,并决定下一步攻击步骤。

Rafel RAT 面板上受感染设备概览(来源:Check Point )

最常发布的命令(来源:Check Point )

Rafel RAT 中的勒索软件模块旨在通过控制受害者的设备,并使用预定义的 AES 密钥加密他们的文件来执行勒索计划。

Rafel RAT 的加密方法(来源:Check Point )

一旦获得了受害者设备的管理权限,Rafel RAT 勒索软件就能轻松控制设备的关键功能,例如更改锁屏密码和在屏幕上添加自定义信息(通常是赎金说明)。如果用户试图撤销管理权限,勒索软件就会立刻做出反应,更改密码并立即锁定屏幕。

针对权限撤销企图的反应机制(来源:Check Point )

Check Point 的研究人员检测到了几起涉及 Rafel RAT 勒索软件攻击活动,其中包括一次来自伊朗的攻击,该攻击在运行加密模块之前使用了 Rafel RAT 的其他功能进行侦查。之后,威胁攻击者很快就清除了通话记录,更改壁纸以显示自定义信息,锁定屏幕,激活设备振动,并发送包含赎金说明的短信,敦促受害者在 Telegram 联系威胁攻击者。

最后,安全专家强调想要抵御 Rafel RAT 恶意软件攻击,请避免从可疑来源下载 APK,不要点击电子邮件或短信中嵌入的 URL,并在启动应用程序前使用 Play Protect 扫描。

参考文章:https://www.bleepingcomputer.com/news/security/ratel-rat-targets-outdated-android-phones-in-ransomware-attacks/

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-06-27 12:49:56

2021-11-12 05:41:59

Android恶意软件网络攻击

2021-12-12 09:13:20

勒索软件攻击网络安全

2023-11-01 13:29:01

2016-09-19 15:40:25

2020-03-31 10:49:00

黑客Zoom恶意软件

2015-02-28 09:13:56

2022-05-12 15:25:16

恶意软件网络攻击

2024-10-31 16:41:46

2021-10-25 11:45:47

恶意软件AndroidTangleBot

2022-07-19 10:55:14

恶意软件安卓应用

2024-01-23 11:45:27

2021-10-06 13:57:41

恶意软件GriftHorse网络攻击

2013-05-02 11:03:29

2021-11-11 12:02:53

勒索软件攻击数据泄露

2021-10-31 14:54:13

恶意软件PixStealer黑客

2023-05-06 18:29:37

2023-06-29 12:48:22

2014-12-18 13:24:53

2021-06-21 09:43:10

AndroidiOS库克
点赞
收藏

51CTO技术栈公众号