Rafel RAT: Android-malware leidt tot spionage en ransomware-operaties

Check Point Research (CPR) heeft meerdere gevallen van Android-malware gevonden die gebruik­maken van Rafel, een open-source Remote Admi­ni­stra­tion Tool (RAT) gericht op Android-telefoons. De onder­zoe­kers ontdekten het gebruik van deze Android-malware bij spionage (toezicht op afstand en data-exfil­tratie) en ransomware-operaties. 

Rafel RAT is betrokken bij phishing-campagnes, waarbij slacht­of­fers worden misleid om kwaad­aar­dige apps te down­lo­aden die populaire diensten (waaronder sociale media) nabootsen. Zo vonden de onder­zoe­kers voor­beelden waarbij kwaad­aar­dige apps met een valse naam en pictogram bekende appstores imiteerden (Google Store, BlackMart, BlackMart-MOD), maar ook sociale media, waaronder Instagram, finance apps, kaarten en navigatie apps en tools zoals Unlimited Bomber, Scam­mers­Ex­posed en Lite-app. 

Door zo’n kwaad­aar­dige app te instal­leren, wordt de malware in de mobiele telefoon geïn­jec­teerd, wat kwaad­wil­lenden vervol­gens verschil­lende soorten moge­lijk­heden geeft, van spionage tot ransom­ware. De onder­zoe­kers zagen in een periode van twee jaar in meerdere landen wereld­wijd meer dan 120 voor­beelden van misbruik, waarbij verschil­lende bevei­li­gings­pro­ce­dures werden omzeild die bedoeld waren om deze mobiele gebrui­kers te beschermen tegen hackers. 

De belangrijkste bevindingen van de onderzoekers

- Rafel RAT heeft een brede impact en werd gebruikt in meer dan 120 campagnes, met de meeste slacht­of­fers in de Verenigde Staten, China en Indonesië 

- De meeste besmette apparaten zijn telefoons van Samsung, Xiaomi, Vivo en Huawei 

- De meeste getroffen apparaten draaien op verou­derde Android-versies, wat het belang van regel­ma­tige updates en bevei­li­gings­pat­ches benadrukt 

- De moge­lijk­heden van Rafel RAT omvatten externe toegang, surveil­lance, gege­vens­dief­stal en zelfs encryptie van de bestanden van slachtoffers 

Opmerkelijke gevolgen

- Rafel RAT werd gevonden op een gehackte over­heids­web­site in Pakistan waarbij het  geïn­fec­teerde apparaten omleidde om terug te rappor­teren naar deze server. 

- Rafel RAT wordt gebruikt voor ransom­ware-operaties om appa­raat­be­standen te coderen, waarbij losgeld wordt geëist voor decodering. 

- De malware is ook in verband gebracht met het stelen van twee­f­ac­to­r­au­then­ti­ca­tie­be­richten, waardoor deze cruciale bevei­li­gings­maat­regel mogelijk wordt omzeild. 

“Rafel RAT herinnert ons er opnieuw aan hoe open-source malwa­re­tech­no­logie aanzien­lijke schade kan aanrichten, vooral wanneer het zich richt op grote ecosys­temen zoals Android, met meer dan 3,9 miljard gebrui­kers wereld­wijd. De meeste getroffen slacht­of­fers gebruikten niet-onder­steunde Android-versies, wat het belang onder­streept om ervoor te zorgen dat apparaten up-to-date zijn met de meest recente bevei­li­gings­op­los­singen of ze te vervangen als ze geen updates meer ontvangen. Promi­nente bedrei­gings­ac­toren en zelfs APT-groepen zijn altijd op zoek naar nieuwe aanvals­me­thoden.  Direct beschik­bare tools zoals Rafel RAT kunnen leiden tot het buitmaken van belang­rijke data, met behulp van gelekte twee­f­ac­to­r­au­then­ti­ca­tie­codes, surveil­lan­ce­po­gingen en geheime operaties, die bijzonder verwoes­tend kunnen zijn wanneer ze worden gebruikt tegen spraak­ma­kende doelen”, reageert Lieven Van Rentergem, security engineer expert bij Check Point Software Technologies. 

Veiligheidsaanbevelingen voor Android-gebruikers

- Download apps van vertrouwde bronnen: instal­leer alleen apps via gere­nom­meerde appstores zoals Google Play. Vermijd bronnen van derden. 

- Houd software bijge­werkt: Regel­ma­tige updates zorgen ervoor dat apparaten kritieke bevei­li­gings­pat­ches ontvangen. 

- Gebruik mobiele bevei­li­gings­op­los­singen: Betrouw­bare bevei­li­gings­apps bieden realtime bescher­ming tegen malware en andere bedreigingen.