Opasni trojanac Rafel RAT inficira i zaključava starije Android telefone

Mobilni telefoni, 24.06.2024, 11:30 AM

Sve više hakerskih grupa koristi moćnog trojanca za Android otvorenog koda pod nazivom „Rafel RAT“ za napade na starije uređaje. Neki od napada se završavaju zaključavanjem uređaja pomoću ransomware modula koji kriminalcima omogućava ucenjivanje žrtava od kojih zahtevaju da im pošalju poruku na Telegramu da bi „rešile ovaj problem“ i ponovo mogle da koriste uređaje.

Istraživači kompanije Check Point upozoravaju da ovaj trojanac uglavnom inficira starije Android telefone - više od 87% žrtava koristi verzije Androida koje više ne dobijaju bezbednosna ažuriranja. Android 11 je najzastupljenija verzija OS-a, sa 21,4% otkrivenih infekcija. Podrška za Android 11 je ukinuta pre skoro pet meseci.

Skoro polovina Rafel RAT infekcija je pronađena na telefonima sa verzijama Androida od 6 do 10, a Android 5 čini dodatnih 18%. Verzija Android 5 objavljena je pre devet godina, a podrška za ovu verziju je ukinuta pre šest godina.

Ovi korisnici mnogo rizikuju jer malver Rafel obezbeđuje napadačima daljinski pristup, nadzor i eksfiltraciju podataka, a ima i mehanizme postojanosti, što ga čini moćnim alatom za izvođenje tajnih operacija.

„Ovaj malver je razvijen za phishing napade. Koristi taktike obmane da manipuliše poverenjem korisnika i iskoristi njihove interakcije“, upozorava se u izveštaju.

Trenutno, brojne phishing operacije koriste ovu varijantu RAT-a pod maskom legitimnih aplikacija, kao što su Instagram ili WhatsApp, brojne platforme za e-trgovinu i antivirusne aplikacije itd.

Kada se instalira, malver može da zahteva brojne dozvole, kao što su obaveštenja ili izuzeće od optimizacije baterije, da bi mogao da radi u pozadini. Ali, u zavisnosti od potreba napadača, može ostati prikriven i tražiti minimalnu interakciju korisnika, prikupljajući samo SMS, evidenciju poziva ili kontakte. On radi u pozadini i komunicira sa serverima za komandu i kontrolu preko HTTP-a ili HTTPS-a.

Rafel RAT ima i funkcije potrebne za iznudu. Ako dobije DeviceAdmin privilegije, može da promeni lozinku za zaključavanje ekrana i spreči deinstalaciju.

Jedna varijanta može da šifruje ili briše fajlove i deluje kao ransomware, upozorio je Check Point. Prema analizi Check Pointa, u oko 10% slučajeva malver je korišćen kao ransomware.

U brojnim slučajevima, RAT je ukrao 2FA poruke, što je dovelo do zaobilaženja višefaktorske autentifikacije.

Analiza uređaja žrtava otkrila je da ih je najviše u SAD, Kini i Indoneziji, navodi se u izveštaju. Većina žrtava ima Samsung telefone, a slede Xiaomi, Vivo i Huawei.

„Malver generalno može da funkcioniše na svim verzijama Androida. Međutim, novije verzije operativnog sistema obično su veći izazov za malver ili zahtevaju više radnji od žrtve da bi napad bio efikasan“, reekao je Check Point.

Da biste se odbranili od ovih napada, izbegavajte preuzimanja APK-a iz sumnjivih izvora, nemojte otvarati linkove u mailovima ili SMS porukama i skenirajte aplikacije pomoću Play Protecta pre nego što ih pokrenete.

Foto: Rami Al-zayat | Unsplash