【安全资讯】Rafel RAT恶意软件：对安卓设备构成日益增长的网络安全威胁

概要：

Check Point Research发布了一份详尽报告，详细描述了Rafel RAT的惊人增长，这是一种开源的安卓恶意软件，已被多种威胁行为者利用，从间谍组织到勒索软件运营商。该恶意软件的多功能性和复杂功能使攻击者能够执行各种恶意活动，为全球安卓用户带来了重大担忧。

主要内容：

Check Point Research观察到大约120个不同的恶意活动使用了Rafel，其中一些成功针对高知名度组织，包括军事部门。大多数受害者来自美国、中国和印度尼西亚，但攻击的地理范围广泛。这些活动尤其高风险，因为被窃取的数据性质。例如，被窃取的电话簿可能泄露有关其他联系人的敏感信息，促进组织内的横向移动。此外，被盗的双因素认证（2FA）消息可能导致多个账户被接管。大多数受害者使用三星手机，其次是小米、Vivo和华为用户。这与这些设备在各个市场的受欢迎程度相符。有趣的是，大多数受害者使用的是不再获得安全更新支持的旧版安卓系统，使其特别容易受到此类攻击的影响。Rafel RAT在安卓设备上隐秘操作，利用欺骗性策略操纵用户信任并利用其互动。启动后，恶意软件寻求必要权限，可能请求加入允许列表，确保其在系统中持久存在。该恶意软件冒充多个广为人知的应用程序，包括Instagram、WhatsApp和各种电子商务平台。根据攻击者的修改，恶意软件可能请求通知或设备管理员权限，或寻求最少的敏感权限，如短信、通话记录和联系人。激活后，Rafel RAT部署一个后台服务，生成一个带有欺骗性标签的通知，同时秘密运行。它启动一个InternalService来管理与C&C服务器的通信。通信通过HTTP(S)协议进行，从客户端-服务器交互的初始阶段开始，涉及向C&C服务器传输设备信息并请求在设备上执行命令。支持的命令范围及其名称可能因具体恶意软件变体而异。这些命令包括泄露电话簿和短信数据、发送短信、泄露实时位置、锁定设备屏幕、启动文件加密过程等。使用Rafel RAT的威胁行为者提供了一个PHP面板，无需传统数据库设置，依赖JSON文件进行存储和管理。通过这个界面，威胁行为者可以监视和控制被感染的移动设备，检索联系人详情、短信等。Check Point Research对特定活动进行了更深入的分析，揭示了在安卓生态系统中运营的个人和公司面临的严重危险。值得注意的是，Rafel RAT已被用于勒索软件操作，利用设备管理员功能防止卸载并使用AES加密文件。在一个案例中，来自伊朗的威胁行为者在受害者设备上执行了勒索软件命令，锁定屏幕并显示勒索通知。此外，Rafel RAT已被用于窃取2FA消息，使攻击者能够绕过额外的安全措施并未经授权地访问敏感账户。威胁行为者还针对政府基础设施，将Rafel网络面板安装在被黑客攻击的巴基斯坦政府网站上。欲了解更详细信息和技术分析以及防护措施，请参阅Antonis Terefos和Bohdan Melnykov的完整Check Point Research报告。