یک بدافزار OpenSource اندروید به نام «Rafel RAT» به طور گسترده توسط چندین مجرم سایبری برای حمله به دستگاههای قدیمی استفاده میشود. یکی از اهداف این بدافزار قفل کردن گوشی های اندرویدی و دریافت باج از صاحب گوشی می باشد. این باج از طریق تلگرام درخواست می شود.
محققان امنیتی نظیر Antonis Terefos و Bohdan Melnykov در Check Point گزارش دادند که بیش از ۱۲۰ کمپین را با استفاده از بدافزار Rafel RAT را شناسایی کردند.
از جمله هکرهای معروفی که از این بدافزار استفاده میکنند می توان به APT-C-35 (تیم DoNot) نام برد. در حالی که در موارد دیگر، ایران و پاکستان بهعنوان منشأ فعالیتهای مخرب تعیین شدهاند.
در مورد اهداف، Check Point به هدفگیری موفق سازمانهای برجسته، از جمله در بخش دولتی و نظامی اشاره میکند که بیشتر قربانیان از ایالات متحده، چین و اندونزی هستند.
در بیشتر مواردی که Check Point مورد بررسی قرار داده است، قربانیان از نسخه های قدیمی اندروید استفاده میکردند، که به پایان عمر (EoL) رسیده بود و دیگر بهروزرسانیهای امنیتی را دریافت نمیکردند و همین موضوع باعث می شود که در برابر نقصهای امنیتی اسیب پذیر باشند.
این بد افزار بیشتر در نسخه اندروید ۱۱ می باشد که بیش از ۸۷٫۵ درصد از قربانیان را تشکیل می دهد. تنها ۱۲٫۵ درصد از دستگاه های آلوده از نسخه اندروید ۱۲ یا ۱۳ استفاده می کردند.
در مورد برندها و مدلهای هدف، ترکیبی از همه چیز وجود دارد، از جمله Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, OnePlus, Vivo و Huawei .
این موضوع ثابت می کند که Rafel RAT یک ابزار حمله موثر علیه مجموعه ای از دستگاه های مختلف اندروید است.
حملات Rafel RAT
Rafel RAT از طریق راههای مختلفی پخش میشود، اما هکرها معمولاً از پلتفورم های شناخته شده مانند اینستاگرام، واتساپ، پلتفرمهای تجارت الکترونیک یا برنامههای آنتی ویروس سوء استفاده میکنند تا افراد را فریب دهند تا فایلهای APK مخرب را دانلود کنند.
در حین نصب، درخواست دسترسی به مجوزهای خطرناکی از جمله ؛ معافیت از بهینه سازی باتری، اجازه اجرا در پس زمینه را می کند.
دستوراتی که این بدافزار پشتیبانی می کند در هر دستگاه متفاوت است اما به طور کلی شامل موارد زیر می باشد :
اثرات مهمی که این بدافزار می گذارد عبارت اند از :
- ransomware: فرآیند رمزگذاری فایل را در دستگاه شروع می کند.
- wipe: تمام فایل های موجود در مسیر مشخص شده را حذف می کند.
- LockTheScreen: صفحه دستگاه را قفل می کند و دستگاه را غیرقابل استفاده می کند.
- sms_oku: تمام پیامک ها (و کدهای ۲FA) را به سرور فرمان و کنترل (C2) درز می کند.
- location_tracker: مکان زنده دستگاه را به سرور C2 افشا می کند.
هکر برای کنترل دستگاه هایی که در اختیار دارد از پنل مرکزی استفاده می کند . همچنین می تواند دستورات مورد نظر خود را از طریق این پنل انجام دهد.
بر اساس تجزیه و تحلیل Check Point، تقریباً در ۱۰٪ موارد، فرمان باج افزار صادر شده است.
حملات باج افزار
ماژول باج افزار در Rafel RAT برای اجرای طرح های اخاذی با در دست گرفتن کنترل دستگاه قربانی و رمزگذاری فایل های آنها با استفاده از یک کلید AES از پیش تعریف شده طراحی شده است.
اگر امتیازات DeviceAdmin روی دستگاه به دست آمده باشد، باجافزار کنترل عملکردهای مهم دستگاه را به دست میآورد، مانند توانایی تغییر گذرواژه قفل صفحه و افزودن یک پیام سفارشی روی صفحه، که اغلب یادداشت باج است.
اگر کاربر بخواهد امتیازات مدیریت را لغو کند، باجافزار میتواند با تغییر رمز عبور و قفل کردن صفحه بلافاصله واکنش نشان دهد.
محققان Check Point چندین عملیات باجافزار مربوط به Rafel RAT را مشاهده کردند، از جمله حمله ای از ایران که با استفاده از سایر قابلیتهای Rafel RAT قبل از اجرای ماژول رمزگذاری، شناسایی انجام داد.
هکر بعد از آلوده کردن گوشی قربانی ؛ تاریخچه تماس ها را پاک کرده، والپیپر را برای نمایش یک پیام سفارشی تغییر داده، صفحه را قفل کرده، لرزش دستگاه را فعال کرده و پیامکی حاوی یادداشت باج به قربانی ارسال می کند، که از قربانی می خواهد برای حل این مشکل در تلگرام به آن ها پیام بدهد.
برای دفاع در برابر این حملات، از دانلود فایل های APK از منابع مشکوک خودداری کنید، روی URL های پیوست شده در ایمیل ها یا پیامک ها کلیک نکنید و برنامه ها را قبل از راه اندازی با Play Protect اسکن کنید.
به روز رسانی ۶/۲۷ – Google تأیید کرده است که کاربران به طور خودکار توسط Google Play Protect در برابر Rafel RAT محافظت می شوند.
