サイバーセキュリティ企業Check Point Researchは、サイバー犯罪者が古いデバイスを攻撃できるようにするオープンソースのAndroidマルウェア「Rafel RAT」について警告した。
Check Point の Antonis Terefos 氏と Bohdan Melnykov 氏による分析によると、オープンソースのリモート管理ツール (RAT) である Rafel が、サイバースパイグループを含む複数の脅威アクターによって利用され、約120の異なる悪意のあるキャンペーンを特定。
Rafel RAT は、Android デバイス上で密かに動作するオープンソースのマルウェア ツールです。
これは、悪意のある攻撃者にリモート管理と制御のための強力なツールキットを提供し、データの盗難からデバイスの操作まで、さまざまな悪意のある活動を実行できるようにします。
これらのキャンペーンの背後にある最もよく知られた攻撃者には APT-C-35 (DoNot Team) が含まれますが、悪意のある活動の起源はイランとパキスタンにまで遡ります。
この攻撃は、政府や軍事部門を含む著名な組織を標的とすることに成功し、標的となった被害者のほとんどは米国、中国、パキスタン、インドネシア、その他の地域からであり、攻撃の地理的範囲が広大であることが浮き彫りになりました。
Check Point は調査の過程で、感染したデバイスのほとんどがサポート終了 (EoL) に達し、セキュリティ アップデートが不要になった Android バージョンを実行しているため、既知の脆弱性に対して脆弱であることを発見しました。
このマルウェアは主に Android バージョン 11 以前を実行しているデバイスを攻撃し、感染の 87.5% 以上を占めています。場合によっては、影響を受けるデバイスのうち Android 12 または 13 を実行しているのは 12.5% のみです。
影響を受けるブランドとモデルには、Samsung Galaxy、Google Pixel、Xiaomi Redmi、Motorola One、OnePlus、Vivo、Huawei のデバイスなど、さまざまな種類のデバイスが含まれます。これは、さまざまな Android オペレーティング システムに対する Rafel RAT マルウェアの有効性を示しています。
Rafel RAT は正規の組織を装って拡散しており、脅威アクターは、Instagram、WhatsApp、さまざまな電子商取引プラットフォーム、ウイルス対策プログラム、多数のサービスのサポート アプリなど、広く認知されている複数のアプリを悪用することがよくあります。
このマルウェアは、フィッシング キャンペーンに参加するために開発されました。 Rafel は、被害者の電話にインストールされると、検出されないようにするために、通知やデバイス管理者権限に対する多数の許可を要求したり、最小限の機密許可 (SMS、通話記録、連絡先など) を密かに求めたりする可能性があります。
いずれにしても、アクティブ化するとすぐにバックグラウンドで実行され、HTTP または暗号化された HTTPS 経由でリモートのコマンド アンド コントロール (C&C) サーバーと通信します。
Rafel アプリケーションは、恐喝計画を効果的に実行するために必要なすべての重要な機能を備えています。
DeviceAdmin 権限を取得すると、マルウェアはロック画面のパスワードを変更し、マルウェアのアンインストールを防ぐことができます。
多くの場合、2FA メッセージが盗まれ、多要素認証のバイパスにつながる可能性があります。
「ユーザーがアプリケーションから管理者権限を取り消そうとすると、即座にパスワードが変更され、画面がロックされ、介入の試みが阻止されます。」チェック・ポイント言った先週発表された分析で。
「ロッカー機能に加えて、このマルウェアには、事前定義されたキーを使用して AES 暗号化を使用してファイルを暗号化する亜種が組み込まれています。あるいは、デバイスのストレージからファイルが削除される可能性があります。」
チェック・ポイント・リサーチは、Rafel RAT を使用して実行されたランサムウェア操作を特定しました。これはおそらくイラン出身の攻撃者によって実行されたもので、パキスタンの被害者に連絡するよう求めるアラビア語の SMS メッセージの形式で「身代金メモ」を送信しました。対話を続けるための電報。
「Rafel RAT は、Android マルウェアの進化する状況を示す有力な例であり、オープンソースの性質、広範な機能セット、さまざまな違法行為での広範な利用を特徴としています」とチェック・ポイントは指摘しました。
「Rafel RAT の蔓延は、悪意のある悪用から Android デバイスを保護するための継続的な警戒とプロアクティブなセキュリティ対策の必要性を浮き彫りにしています。」
これらの攻撃から保護するには、ユーザーはデバイスを最新の状態に保ち、未知の送信者からの APK のダウンロードや未知の Web サイトからダウンロードされたアプリケーションを避け、電子メールや SMS に埋め込まれた URL をクリックしないようにし、アプリを起動する前に Google Play プロテクトでアプリをスキャンする必要があります。 。
