Rafel RAT,一款开源的 Android ,因其针对旧版 Android设备的攻击而成为热门话题。它被用于勒索软件操作,吸引了网络安全专家的注意,因为许多网络犯罪集团普遍使用它来攻击不再接受常规安全更新的设备。
这些过时的设备更容易受到攻击,因为它们无法防御新发现的漏洞。随著在全球设备中蔓延的情况令人担忧,了解这一威胁对所有 Android用户而言至关重要。请在下文中了解更多有关 Rafel RAT 及如何保护您的设备的信息!
Rafel RAT 的范围与影响
Check Point 的研究人员 Antonis Terefos 和 Bohdan Melnykov 已 在部署 Rafel RAT。他们将其中一些活动追溯到著名的威胁行为者,如
APT-C-35(也称为 DoNot Team),并确定伊朗和巴基斯坦是这些攻击的主要来源。
Rafel RAT 成功渗透了政府和军事等高端组织,受害者主要来自美国、中国和印尼。受 Rafel 攻击的设备运行于 Android 11或之前的版本,这些设备占受影响设备的 87.5%。
其余 12.5% 则运行于较新的操作系统,即 Android 12 和 13。在设备的脆弱性方面,受影响的型号包括 SamsungGalaxy、Google Pixel、Xiaomi Redmi、Motorola One,以及 OnePlus、Vivo 和
等其他品牌。这基本上意味著没有品牌是 RafelRAT 的安全净土。
Rafel RAT 针对的主要型号(来源:Check Point)
Rafel RAT 的攻击途径与命令
该恶意软件以假冒受信任品牌(如 、
和各种电子商务及杀毒应用程序)的合法应用程序进行扩散。它诱使用户下载请求过多权限的恶意 APK 文件,例如要求禁用电池优化,以便在背景中无法被检测到。
一旦安装,Rafel RAT 可以执行多项有害操作:
| 命令 | 描述 |
|—————–|——————————–|
| ransomware | 开始加密设备上的文件。 |
| wipe | 删除指定目录中的所有文件。 |
| LockTheScreen | 锁定设备屏幕,让其无法使用。 |
| sms_oku | 将所有 SMS 讯息(和 2FA 代码)传送到 C2 伺服器。 |
| location_tracker | 将设备的实时位置发送到 C2 伺服器。 |
威胁行为者使用中央面板查看设备及状态信息,并决定下一步该做什么。根据 Check Point 的分析,大约 10% 的观察案例中,Rafel RAT发出勒索命令。
Rafel RAT 的中央面板(来源:Check Point)
防范 Rafel RAT 的措施
为了防止 Rafel RAT,Android 用户应该:
- 避免从未经验证的来源下载 APK,特别是如果您的 Android 设备已过时。
- 在使用新应用程序之前,始终使用 Google Play Protect 进行扫描。
- 不要点击电子邮件或短信中的可疑链接。
- 随时关注最新的 Android 版本。
Anas Hasan
2024 年 6 月 24 日
4 个月前
Anas Hassan 是一名科技爱好者和网络安全爱好者。他在数字转型行业拥有丰富的经验。当 Anas 不在写博客时,他会观看足球赛。
