A “Rafel RAT” nevű nyílt forráskódú Android malware-t több kiberbűnöző is alkalmazza elavult Android eszközök megtámadására. Egyes csoportok célja, hogy egy ransomware lezárja az eszközt és a Telegramon követelik a váltságdíjat.
A Check Point mintegy 120 különböző kampányt azonosított, amelyek közül néhány magas rangú szervezetet célzott meg, és olyan országokra terjedtek ki, mint például Ausztrália, Kína, Csehország, Franciaország, Németország, India, Indonézia, Olaszország, Új-Zéland, Pakisztán, Románia, Oroszország és az Egyesült Államok.
A vizsgált fertőzések többségében az áldozatok olyan Android verziót futtattak, amely elérte az életciklus végét (EoL), és már nem kapott biztonsági frissítéseket, így sebezhetővé vált az ismert/közzétett sérülékenységekkel szemben. Ez a 11-es és régebbi Android verziókat jelenti, amelyek az összes fertőzés több mint 87,5%-át tették ki. A fertőzött eszközöknek mindössze 12,5%-a futtatja az Android 12-es vagy 13-es verziót.
Ami a megcélzott márkákat és modelleket illeti, többek között Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, OnePlus, Vivo és Huawei készülékek. Ez bizonyítja, hogy a Rafel RAT hatékony támadási eszköz a különböző Android implementációk sokasága ellen.
A fenyegető szereplők jellemzően olyan ismert márkáknak, mint az Instagram, a WhatsApp, e-kereskedelmi platformok vagy vírusirtó alkalmazásoknak álcázzák, hogy rávegyék az embereket a rosszindulatú APK-k letöltésére.
A telepítés során hozzáférést kér olyan folyamatokhoz, mint például az akkumulátor optimalizálás, hogy a háttérben tovább futhasson.
Többféle parancsot támogat, amik változatonként különböznek, de a potenciális hatásuk alapján a legfontosabbak a következők:
- ransomware: Elindítja a fájltitkosítás folyamatát az eszközön.
- wipe: Törli a megadott elérési útvonal alatti összes fájlt.
- LockTheScreen: Zárolja az eszköz képernyőjét, így az eszköz használhatatlanná válik.
- sms_oku: Az összes SMS-t (és MFA kódot) kiszivárogtatja a C2 felé.
- location_tracker: Az eszköz pontos helyzetét elküldi el a C2 kiszolgálónak.
A műveleteket egy központi panelről irányítják, ahol a fenyegető szereplők hozzáférhetnek az eszközre és az állapotra vonatkozó információkhoz, és dönthetnek a következő támadási lépésekről.
A Rafel RAT zsarolóprogramot úgy tervezték, hogy átvegye az áldozat eszköze feletti irányítást és a fájlok titkosításával egy előre meghatározott AES kulcs segítségével.
A Check Point elemzése szerint az esetek nagyjából 10%-ában adták ki a ransomware parancsot.
Ha a DeviceAdmin jogosultságokat megszerezte a készüléken, a ransomware ellenőrzést szerez a készülék kulcsfontosságú funkciói felett, képes megváltoztatni a képernyőzár jelszavát, és egyéni üzenetet – gyakran a váltságdíjat tartalmazó üzenetet – hozzáadni a képernyőhöz.
Ha a felhasználó megpróbálja visszavonni az adminisztrátori jogosultságokat, a zsarolóprogram a jelszó megváltoztatásával és a képernyő azonnali zárolásával reagálhat.
A támadó törölheti a híváslistát, megváltoztathatja a háttérképet, egy egyéni üzenetet jeleníthet meg, lezárhatja a képernyőt, aktiválhatja a készülék rezgését, vagy SMS-t küldhet, amely a váltságdíjfizetési üzenetet tartalmazta. Ebben arra szólítja fel az áldozatot, hogy üzenjen nekik a Telegramon, hogy “megoldják ezt a problémát”.
Az ilyen támadások elleni védekezés érdekében kerüljük a kétes forrásból származó APK letöltéseket, ne kattintsunk az e-mailekbe vagy SMS-ekbe ágyazott URL-címekre, és indítás előtt vizsgáljuk át az alkalmazásokat a Play Protect segítségével.