120 кампаний
Устаревшим устройствам под управлением ОС Android массово угрожает новый вредонос, одновременно запущенный несколькими группами киберзлоумышленников.
Программа Rafel RAT, как можно понять из её названия, является, в первую очередь, троянцем для обеспечения удалённого доступа. У неё, однако, есть свои особенности: во-первых, это модуль шифрования, который злоумышленники используют для вымогательства; во-вторых, Rafel RAT, как ни странно, является программой с открытым исходным кодом.
Эксперты компании Check Point Антонис Терефос (Antonis Terefos) и Богдан Мельников выявили к настоящему времени более 120 кампаний, использующих Rafel RAT. Часть из них проводится с территорий Ирана и Пакистана.
Основными мишенями оказались организации в оборонительном секторе и органы власти в США, Китае и Индонезии.
По данным Check Point, большинство жертв пользовались устаревшими устройствами, не получавшими обновления безопасности от вендора: в 87,5% случаев атак, речь шла о смартфонах под управлением Android 11 и старше.
Лишь 12,5% заражённых устройств работали под управлением Android 12/13.
Разброс в моделях оказался очень велик: среди пострадавших - Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, а также устройства OnePlus, Vivo и Huawei.
Учитывая, что каждый вендор вносит свои, пусть и некритические, но существенные изменения в операционную систему, можно утверждать, что Rafel - весьма универсальный инструмент.
Посторонние источники
Распространение вредоноса осуществляется разными способами, но чаще всего злоумышленники пытаются выдавать его установочные .APK-файлы за дистрибутивы социальных сетей, мессенджеров, клиентов платформ электронной коммерции или антивирусных приложений.
В ходе установки вредонос требует себе всевозможные разрешения, в том числе - исключения из списка приложений, приостанавливаемых в фоновом режиме.
Дальше вредонос может заблокировать устройство, зашифровать или удалить файлы на нём, а также перенаправить все SMS-сообщения и коды двухфакторной авторизации на контрольный сервер, а также направить туда информацию о геолокации устройства.
Информация о заражённом устройстве выводится в панели управления вредоносом, так что оператор может решать, что именно с ним делать дальше.
По данным Check Point, лишь в 10,3% случаев злоумышленники давали команду на запуск модуля шифрования.
Как отметили исследователи, иранские хакеры использовали Rafel RAT для проведения разведывательных действий, и лишь затем запускали шифровальщик. Видимо, в порядке маскировки основной деятельности. Вымогательский эпизод был довольно заметным: злоумышленники стёрли всё историю звонков, заменили фон экрана на сообщение с требованием выкупа, заблокировали экран и, вдобавок, отправили SMS с требованием, опять же, поторопиться с «решением проблемы».
«Подобные атаки возможны только в тех случаях, когда жертвы поддаются на уговоры скачать и установить что-либо не из официальных магазинов приложений», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. Она уточнила, что ничего не скачивать и не устанавливать из неподтверждённых источников - это базовый принцип обеспечения безопасности мобильных устройств.
Эксперт добавила, что во избежание атак не следует также переходить по ссылкам из почты или SMS, предварительно не подтвердив источник сообщения, а кроме того необходимо сканировать приложения как минимум общедоступными средствами защиты перед их запуском.
Поделиться
