本文来自微信公众号“FreeBuf”,作者/小王斯基。
威胁攻击者正在大量部署一种名为「Rafel RAT」的开源恶意软件,攻击「过时」安卓设备。Check Point安全研究人员Antonis Terefos和Bohdan Melnykov表示,共检测到超过120个使用Rafel RAT恶意软件的网络攻击活动。
据悉,Rafel RAT恶意软件的攻击目标主要是政府和军事部门,大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由APT-C-35(DoNot Team)等知名勒索软件组织发起,伊朗和巴基斯坦疑似为恶意活动的源头。
Rafel RAT恶意软件目标品牌和型号非常广泛,包括三星Galaxy、谷歌Pixel、小米红米、摩托罗拉One以及OnePlus、vivo和华为的设备。
Check Point分析大量网络攻击活动后发现,受害者运行的安卓版本已达到生命周期终点(EoL),其中87.5%运行安卓11及以上版本,只有12.5%的受感染设备运行Android 12或13。鉴于很多「过时」版本不再接受安全更新,因此容易受到已知/已发布漏洞的攻击。据此推测,有超过39亿台的安卓设备/手机(包括用户弃用)或被暴露在这一威胁之下。
Rafel RAT勒索软件
恶意软件传播途径多种多样,威胁攻击者通常会滥用Instagram、WhatsApp、电子商务平台或杀毒应用程序等知名品牌,诱骗人们下载恶意APK。
捆绑Rafel RAT安装程序的虚假应用程序(来源:Check Point)
安装过程中,Rafel RAT恶意软件会请求访问风险权限,包括免于电池优化,允许在后台运行。值得一提的是,Rafel RAT恶意软件支持的命令因变种而异,但一般包括以下命令:
勒索软件:启动设备上的文件加密进程;
wipe:删除指定路径下的所有文件;
锁定屏幕:锁定设备屏幕,使设备无法使用;
sms_oku:向命令与控制(C2)服务器泄漏所有短信(和2FA代码);
location_tracker:向C2服务器泄露实时设备位置。
Rafel RAT恶意软件的行动由中央面板控制,威胁攻击者可在此访问设备和状态信息,并决定下一步攻击步骤。
Rafel RAT面板上受感染设备概览(来源:Check Point)
最常发布的命令(来源:Check Point)
Rafel RAT中的勒索软件模块旨在通过控制受害者的设备,并使用预定义的AES密钥加密他们的文件来执行勒索计划。
Rafel RAT的加密方法(来源:Check Point)
一旦获得了受害者设备的管理权限,Rafel RAT勒索软件就能轻松控制设备的关键功能,例如更改锁屏密码和在屏幕上添加自定义信息(通常是赎金说明)。如果用户试图撤销管理权限,勒索软件就会立刻做出反应,更改密码并立即锁定屏幕。
针对权限撤销企图的反应机制(来源:Check Point)
Check Point的研究人员检测到了几起涉及Rafel RAT勒索软件攻击活动,其中包括一次来自伊朗的攻击,该攻击在运行加密模块之前使用了Rafel RAT的其他功能进行侦查。之后,威胁攻击者很快就清除了通话记录,更改壁纸以显示自定义信息,锁定屏幕,激活设备振动,并发送包含赎金说明的短信,敦促受害者在Telegram联系威胁攻击者。
最后,安全专家强调想要抵御Rafel RAT恶意软件攻击,请避免从可疑来源下载APK,不要点击电子邮件或短信中嵌入的URL,并在启动应用程序前使用Play Protect扫描。