Check Point Research (CPR) heeft meerdere gevallen van Android-malware gevonden die gebruikmaken van Rafel, een open-source Remote Administration Tool (RAT) gericht op Android-telefoons. De onderzoekers ontdekten het gebruik van deze Android-malware bij spionage (toezicht op afstand en data-exfiltratie) en ransomware-operaties.
Rafel RAT is betrokken bij phishing-campagnes, waarbij slachtoffers worden misleid om kwaadaardige apps te downloaden die populaire diensten (waaronder sociale media) nabootsen. Zo vonden de onderzoekers voorbeelden waarbij kwaadaardige apps met een valse naam en pictogram bekende appstores imiteerden (Google Store, BlackMart, BlackMart-MOD), maar ook sociale media, waaronder Instagram, finance apps, kaarten en navigatie apps en tools zoals Unlimited Bomber, ScammersExposed en Lite-app.
Door zo’n kwaadaardige app te installeren, wordt de malware in de mobiele telefoon geïnjecteerd, wat kwaadwillenden vervolgens verschillende soorten mogelijkheden geeft, van spionage tot ransomware. De onderzoekers zagen in een periode van twee jaar in meerdere landen wereldwijd meer dan 120 voorbeelden van misbruik, waarbij verschillende beveiligingsprocedures werden omzeild die bedoeld waren om deze mobiele gebruikers te beschermen tegen hackers.
De belangrijkste bevindingen van de onderzoekers
– Rafel RAT heeft een brede impact en werd gebruikt in meer dan 120 campagnes, met de meeste slachtoffers in de Verenigde Staten, China en Indonesië
– De meeste besmette apparaten zijn telefoons van Samsung, Xiaomi, Vivo en Huawei
– De meeste getroffen apparaten draaien op verouderde Android-versies, wat het belang van regelmatige updates en beveiligingspatches benadrukt
– De mogelijkheden van Rafel RAT omvatten externe toegang, surveillance, gegevensdiefstal en zelfs encryptie van de bestanden van slachtoffers
Opmerkelijke gevolgen
– Rafel RAT werd gevonden op een gehackte overheidswebsite in Pakistan waarbij het geïnfecteerde apparaten omleidde om terug te rapporteren naar deze server.
– Rafel RAT wordt gebruikt voor ransomware-operaties om apparaatbestanden te coderen, waarbij losgeld wordt geëist voor decodering.
– De malware is ook in verband gebracht met het stelen van tweefactorauthenticatieberichten, waardoor deze cruciale beveiligingsmaatregel mogelijk wordt omzeild.
“Rafel RAT herinnert ons er opnieuw aan hoe open-source malwaretechnologie aanzienlijke schade kan aanrichten, vooral wanneer het zich richt op grote ecosystemen zoals Android, met meer dan 3,9 miljard gebruikers wereldwijd. De meeste getroffen slachtoffers gebruikten niet-ondersteunde Android-versies, wat het belang onderstreept om ervoor te zorgen dat apparaten up-to-date zijn met de meest recente beveiligingsoplossingen of ze te vervangen als ze geen updates meer ontvangen. Prominente bedreigingsactoren en zelfs APT-groepen zijn altijd op zoek naar nieuwe aanvalsmethoden. Direct beschikbare tools zoals Rafel RAT kunnen leiden tot het buitmaken van belangrijke data, met behulp van gelekte tweefactorauthenticatiecodes, surveillancepogingen en geheime operaties, die bijzonder verwoestend kunnen zijn wanneer ze worden gebruikt tegen spraakmakende doelen”, reageert Lieven Van Rentergem, security engineer expert bij Check Point Software Technologies.
Veiligheidsaanbevelingen voor Android-gebruikers
– Download apps van vertrouwde bronnen: installeer alleen apps via gerenommeerde appstores zoals Google Play. Vermijd bronnen van derden.
– Houd software bijgewerkt: Regelmatige updates zorgen ervoor dat apparaten kritieke beveiligingspatches ontvangen.
– Gebruik mobiele beveiligingsoplossingen: Betrouwbare beveiligingsapps bieden realtime bescherming tegen malware en andere bedreigingen.