Rafel RAT napada Android uređaje

Sigurnosni istraživači kompanije Check Point Research su otkrili Rafel RAT, zlonamjernu alatku otvorenog kôda koja omogućava udaljenu administraciju na kompromitovanim uređajima. Ovaj zlonamjerni alat prikriveno radi na Android uređajima, pružajući zlonamjernim akterima sveobuhvatan komplet alata za daljinsku administraciju i kontrolu. Ovaj moćni softver omogućava zlonamjernim akterima niz zlonamjernih aktivnosti od krađe podataka do manipulacije uređajem.

Rafel RAT

Rafel RAT napada Android uređaje; Source: Bing Image Creator

RAFEL RAT

Alatka za udaljenu administraciju otvorenog kôda (eng. Remote Administration Tool – RAT) poznata kao Rafel pojavila se kao značajna prijetnja za Android uređaje širom sveta. Ova moćna zlonamjerna alatka pruža zlonamjernim akterima širok spektar mogućnosti za daljinski pristup, nadzor, eksfiltraciju podataka i održavanje postojanosti na ciljanim sistemima. Sigurnosni istraživači su identifikovali više zlonamjernih aktera koji koriste Rafel RAT u svojim operacijama, među kojima se ističe APT-C-35, naglašavajući njegovu svestranost i potencijalnu opasnost koju predstavlja za milione Android korisnika.

Istraga je takođe otkrila brojne phishing operacije koje koriste ovu specifičnu varijantu zlonamjernog softvera. Pod maskom legitimnih entiteta, zlonamjerni softver oponaša više široko poznatih aplikacija, uključujući Instagram, WhatsApp, različite platforme za e-trgovinu, antivirusne softvere i aplikacije za podršku brojnim uslugama.

 

Mogućnosti

Rafel RAT opsežan skup funkcija čini ga odličnim alatom za zlonamjerne aktere koji traže neovlašteni pristup Android uređajima. Njegove funkcije daljinske administracije omogućavaju napadačima da kontrolišu zaražene sisteme na daljinu, što ga čini idealnim izborom za razne zlonamjerne aktivnosti. Mogućnosti nadzora Rafel RAT zlonamjernog alata omogućavaju zlonamjernim akterima da prate aktivnosti korisnika i prikupljaju osjetljive informacije u realnom vremenu.

Eksfiltracija podataka je još jedna kritična funkcija koja omogućava zlonamjernim akterima da ukradu vrijedne podatke sa kompromitovanih uređaja. Konačno, mehanizmi postojanosti obezbjeđuju da nakon što je uređaj zaražen Rafel RAT zlonamjernim softverom, on ostaje pod kontrolom napadača čak i nakon ponovnog pokretanja ili drugih pokušaja uklanjanja zlonamjernog softvera.

 

Rasprostranjenost napada

Prijetnja koju predstavlja Rafel RAT dodatno je pojačana njegovom širokom upotrebom i samim brojem Android uređaja koji su ugroženi. Sigurnosni istraživači smatraju da postoji preko 3,9 milijardi Android uređaja izloženih ovoj prijetnji. Oni su identifikovali Sjedinjene Američke Države, Kinu i Indoneziju kao zemlje koje su najviše pogođene u pogledu zaraženih uređaja. Među proizvođačima uređaja, Samsung telefoni su najčešće kompromitovani, a slede Xiaomi, Vivo i Huawei.

Istraživanje je takođe pokazalo da je Android 11 najčešće ciljana verzija među svim Android operativnim sistemima. Dok novije verzije kao što je Android 12 predstavljaju više izazova za izvršenje zlonamjernog softvera zbog povećanih bezbjednosnih mjera, starije verzije su i dalje veoma podložne napadima. Ovaj trend naglašava važnost ažuriranja uređaja najnovijim softverskim ispravkama i njihove brze primjene radi zaštite od poznatih ranjivosti.

 

Uticaj

Potencijalne posljedice infekcije Rafel RAT zlonamjernog softvera mogu biti ozbiljne. Zlonamjerni akteri bi mogli da koriste ovaj zlonamjerni softver za krađu osjetljivih podataka, kao što su akreditivi za prijavu ili finansijske informacije. Oni takođe mogu da instaliraju dodatni zlonamjerni softver na zaražene uređaje, proširujući površinu napada i potencijalno izazivajući dalju štetu. U nekim slučajevima, napadači mogu čak dobiti pristup korporativnim mrežama preko kompromitovanih uređaja zaposlenih, što dovodi do potencijalnih ugrožavanja podataka i drugih bezbjednosnih incidenata.

 

APT-C-35

Napredna trajna prijetnja (eng. Advanced persistent threat – APT) APT-C-35, takođe poznat kao DoNot Team, Brainworm i Origami Elephant, je grupa za sajber špijunažu koja je aktivno ciljala Android uređaje koristeći alatku za daljinsku administraciju otvorenog kôda (RAT) pod nazivom Rafel.

APT-C-35 je poznat po svojoj svestranosti u postizanju različitih zlonamjernih ciljeva korišćenjem Rafel RAT zlonamjernog softvera. Komplet alata pruža zlonamjernim akterima moćan arsenal za daljinsko upravljanje i kontrolu zaraženih uređaja, omogućavajući niz zlonamjernih aktivnosti od krađe podataka do manipulacije uređajem. Neke od karakteristika koje Rafel čine atraktivnim izborom za APT-C-35 uključuju:

  1. Kada je uređaj kompromitovan, napadači mogu da dobiju potpuni daljinski pristup njemu, omogućavajući im da izvršavaju komande i instaliraju dodatni zlonamjerni softver,
  2. RAT omogućava napadačima da prate aktivnosti žrtve na njihovim zaraženim uređajima, uključujući pritiske na tastere, ulaz mikrofona, snimke kamere i podatke o lokaciji,
  3. APT-C-35 može da koristi Rafel za krađu osjetljivih informacija sa kompromitovanih Android uređaja, kao što su kontakti, elektronske poruke, poruke i datoteke,
  4. RAT omogućava napadačima da održe trajno prisustvo na zaraženim uređajima, obezbeđujući da imaju stalni pristup čak i ako žrtva ponovo pokrene svoj uređaj ili promjeni svoju mrežnu vezu,
  5. APT-C-35 može da koristi Rafel za brisanje podataka sa SD kartice Android uređaja, što otežava žrtvama da povrate svoje informacije i potencijalno prikrivaju tragove,
  6. Grupa je takođe primijećena kako koristi Rafel kao alatku za ransomware, šifruje datoteke na zaraženim uređajima i zahteva plaćanje u zamjenu za ključ za dešifrovanje.

 

Jedna značajna kampanja koju je sproveo APT-C-35 uključivala je iskorišćavanje greške u dizajnu Foxit PDF Reader softvera da bi prevario korisnike da preuzmu zlonamjerne sadržaje. Grupa je koristila PDF mamce sa vojnom tematikom za isporuku zlonamjernog softvera, koji je ciljao subjekte visokog profila u različitim industrijama i zemljama.

Upotreba Rafel RAT zlonamjernog softvera od strane APT-C-35 je podsjetnik da zlonamjerni akteri nastavljaju da razvijaju svoje taktike u pokušaju da ugroze privatnost korisnika, ukradu osjetljive podatke i izvrše finansijsku prevaru. Da bi ublažile ove prijetnje, od suštinskog je značaja za organizacije i pojedince da usvoje višeslojni pristup sajber bezbednosti, uključujući primjenu sveobuhvatnih bezbjednosnih politika sa protokolima za reagovanje na incidente za suočavanje sa infekcijom zlonamjernim softverom.

 

ZAKLJUČAK

Rafel RAT predstavlja značajnu prijetnju za korisnike Android uređaja zbog svojih širokih mogućnosti za daljinski pristup i kontrolu, eksfiltraciju podataka, nadzor i mehanizme postojanosti. Široka upotreba ovog alata otvorenog kôda dovela je u opasnost više od 3,9 milijardi uređaja, zbog čega je neophodno da korisnici ostanu oprezni u odnosu na potencijalne prijetnje i preduzmu odgovarajuće mjere da obezbijede svoje Android uređaje.

Uočeni su zlonamjerni akteri koji koriste Rafel RAT u različite zlonamjerne svrhe, što ga čini suštinskom brigom za bezbjednost Android uređaja. Tajna priroda alata i široke mogućnosti čine ga značajnom prijetnjom i pojedinačnim korisnicima i organizacijama. Kako napadači nastavljaju da koriste sve sofisticiranije tehnike, razumijevanje prirode Android zlonamjernog softvera kao što je Rafel RAT i efikasne strategije prevencije postaju najvažniji.

Prateći najbolje prakse kao što je preuzimanje aplikacija samo iz pouzdanih izvora i ažuriranje softvera, korisnici mogu značajno smanjiti vjerovatnoću da postanu žrtve Rafel RAT zlonamjernog softvera ili drugih sličnih alata za zlonamjerni softver.

 

ZAŠTITA

Kako bi se korisnici i organizacije zaštitili od prijetnje Rafel RAT zlonamjernog softvera na Android uređajima, od suštinskog je značaja da prate najbolje prakse za obezbjeđenje uređaja i da budu svjesni potencijalnih rizika. Evo nekoliko preporučenih koraka:

  1. Osigurati da su najnovije bezbjednosne ispravke instalirane na Android uređaju redovnim provjeravanjem dostupnosti ažuriranja i njihovim instaliranjem čim postanu dostupne. Ažuriranja često uključuju kritične bezbjednosne ispravke za rješavanje poznatih ranjivosti
  2. Biti oprezan prilikom klikova na veze u elektronskoj pošti ili porukama koje direktno preuzimaju aplikacije, posebno ako ne nalaze na zvaničnim lokacijama. Umjesto toga, uvijek koristiti pouzdane prodavnice aplikacija kao što je Google Play za instalacije i ažuriranja. Pored toga, biti oprezan pri instaliranju aplikacija koje se povezuju sa već postojećim, osim ako nisu potvrđene kao legitimne,
  3. Dozvole za pristupačnost davati samo aplikacijama koje ih zaista trebaju, jer te dozvole mogu olakšati kontrolu uređaja. Obavezno pročitati opis i recenzije aplikacije pre nego što se dopuste takve dozvole,
  4. Koristiti renomirani softver za bezbjednost mobilnih uređaja koji uključuje funkcije kao što su antivirusna zaštita, skeniranje aplikacija, internet filtriranje i kontrole privatnosti. Redovno ažurirati bezbjednosni softver kako bi se osiguralo da može da otkrije i zaštiti od najnovijih prijetnji,
  5. Omogućiti Google Play zaštitu koja automatski skenira aplikacije na Google Play prodavnici prije nego što se instaliraju na uređaj u potrazi za zlonamjernim softverom i drugim potencijalno štetnim sadržajem. Uvjeriti se da je Google Play zaštita omogućena u Google Play podešavanjima,
  6. Koristiti jake, jedinstvene lozinke koristeći kombinaciju velikih slova, malih slova, brojeva i simbola kako bi se zaštitili korisnički nalozi. Razmisliti o korišćenju renomirane aplikacije za upravljanje lozinkama koja će pomoći sa generisanjem i upravljanjem lozinkama,
  7. Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) koja dodaje dodatni nivo sigurnosti tako što zahteva verifikacioni kôd ili biometrijski faktor pored lozinke kada se korisnik prijavljuje na svoj nalog. Ovo pomaže u sprečavanju neovlaštenog pristupa čak i ako je lozinka ugrožena,
  8. Redovno praviti rezervne kopije podataka korištenjem pouzdanog riješenje za pravljenje rezervnih kopija važnih datoteka, kontakata i drugih podataka. U slučaju da se Android uređaj zarazi Rafel RAT zlonamjernim softverom ili bilo kojim drugim zlonamjernim softverom, nedavna rezervna kopija može pomoći da se umanje potencijalni gubici.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.