知名网络安全公司Check Point Research(CPR)在最新的研究报告中指出,一种名为Rafel的开源远程控制木马(RAT)正被用于攻击安卓设备,窃取数据、监视用户甚至锁定手机,全球超过39亿安卓设备面临与该木马相关的网络间谍和勒索软件攻击。
报告指出,Rafel RAT功能强大,被多方恶意势力用于间谍活动和秘密情报窃取。例如,臭名昭著的黑客组织APT-C-35/DoNot Team就利用了Rafel的远程访问、监视、数据窃取和持久化等功能,对安卓设备发动攻击。
DoNot Team一直以安卓设备为主要攻击目标。2020年11月,该组织通过谷歌Firebase云消息传递服务传播安卓恶意软件。2021年10月,天网国际组织(Amnesty International)将针对多个活动人士的恶意软件攻击归咎于该组织,并追踪到攻击使用的IP地址之一,将幕后黑手锁定为印度网络安全公司Innefu Labs。
在最新的RafelRAT攻击中,CPR收集了多个恶意软件样本并追踪到120个控制服务器。令人惊讶的是,三星手机成为受影响最严重的设备品牌,而美国、中国和印度则是此次攻击的主要目标国家。报告指出:“大多数受害者使用的是三星手机,小米、vivo和华为用户紧随其后。”这可能与这些品牌的市场份额较高有关,用户基数庞大也让它们成为攻击者的主要目标。
报告还指出,超过87%的受害者使用的都是已经过时的安卓版本,这些系统不再能获得安全更新,缺乏关键的安全补丁,更容易受到恶意软件的侵害。其中,安卓11是受影响最严重的版本,其次是安卓8和安卓5。
正如即便在2014年停止更新后,Windows XP系统仍然饱受各种恶意软件威胁一样,安卓系统也面临着类似的问题。
CPR在研究中发现了三种Rafel RAT的具体应用案例:
- 实施勒索软件攻击
- 泄露双因素认证信息
- 在巴基斯坦政府网站上架设Rafel的控制服务器,显示了此类威胁的普遍性
安全专家John Bambenek评论道:“本质上,手机恶意软件通常伪装成应用程序,诱骗用户安装。谷歌一直在努力确保这类应用无法进入Play商店,或者至少无法长时间存在。用户千万不要根据短信安装应用程序。此外,定期更新手机系统也非常重要,确保您运行的是最新版本。”
CPR的研究强调了持续警惕和采取积极安全措施的重要性,以保护安卓设备免受恶意攻击。同时,建议用户始终从可信赖的来源(例如Google Play商店)安装应用,避免安装第三方来源的应用,并检查应用程序的权限和评论,保障安卓手机的安全。
