Bezpieczeństwo urządzeń mobilnych stoi przed poważnym wyzwaniem w postaci złośliwego oprogramowania na Androida. Wyobraź sobie smartfon, niezbędny element codziennego życia, który staje się narzędziem dla cyberprzestępców. Atakujący są przyciągani do systemów Android z kilku powodów: ogromnej bazy użytkowników, rozbudowanych opcji dostosowywania oraz wad w procesach aktualizacji i bezpieczeństwa Androida. Przy tak wysokich stawkach wpływających na dane użytkowników i systemów, zrozumienie tych zagrożeń jest kluczowe dla zachowania ochrony. Atakujący są nieodparcie przyciągani do Androida ze względu na jego ogromną bazę użytkowników. Z ponad trzema miliardami użytkowników na całym świecie Android oferuje lukratywną okazję do cyberataków na dużą skalę. To znacznie przewyższa bazę użytkowników iOS, która wynosi nieco ponad miliard. Ogromna liczba potencjalnych celów sprawia, że Android jest atrakcyjnym placem zabaw dla cyberprzestępców, którzy chcą wykorzystać jego zasięg do swoich złośliwych działań.
Chociaż Android oferuje więcej opcji dostosowywania niż iOS, to fakt ten niesie wiele potencjalnych cyberzagrożeń. Niezamierzone luki w zabezpieczeniach, takie jak niesprawdzone funkcje lub nieaktywne mechanizmy weryfikacji, mogą znacznie zwiększyć ryzyko cyberataku. Na przykład umożliwienie aplikacjom uruchamiania się z niezweryfikowanych źródeł lub automatyczne przyznawanie uprawnień bez udziału użytkownika zwiększyłoby prawdopodobieństwo narażenia użytkownika na złośliwe oprogramowanie.
W przeciwieństwie do iOS, systemy Android doświadczają niespójnych aktualizacji i poprawek bezpieczeństwa z powodu problemów specyficznych dla producenta, takich jak opóźnione lub fragmentaryczne cykle poprawek. Te niespójności mogą pozostawić luki w zabezpieczeniach nierozwiązane na różnych urządzeniach z Androidem. W związku z tym system operacyjny Android odnotował wzrost liczby ukierunkowanych ataków, w tym tych przeprowadzanych za pomocą trojanów zdalnego dostępu (RAT), takich jak Rafel RAT.
Rafel RAT: ukryte zagrożenie dla urządzeń z Androidem
Rafel RAT to złośliwe oprogramowanie na Androida o otwartym kodzie źródłowym i zdolności do kamuflażu aplikacji, który często maskuje się jako powszechna aplikacja BlackMart. BlackMart, znany również jako BlackMart Alpha, to rynek aplikacji, z którego użytkownicy mogą pobierać aplikacje na Androida; dostępne aplikacje to zazwyczaj pirackie, darmowe wersje komercyjnych ofert dostępnych w sklepie Google Play, które są osadzone w złośliwym oprogramowaniu. Aktywne repozytorium GitHub zawiera kod źródłowy i elementy potrzebne do zbudowania Rafel RAT i uruchomienia ataku.
Rafel RAT atakuje przestarzałe systemy operacyjne Android, w szczególności telefony komórkowe i tablety, co czyni go wygodnym i potężnym narzędziem w kampanii cyberprzestępców. Check Point Software odkrył, że powszechnymi celami są urządzenia z wersjami Androida 11, 5 i 8. Chociaż urządzenia starsze niż Android 11 są najbardziej podatne na infekcję Rafel RAT, urządzenia z nowszymi wersjami systemu operacyjnego również mogą stać się celem ataku. Niewysyłanie przez użytkownika aktualizacji oprogramowania, lub opóźnienia we wdrażaniu poprawek bezpieczeństwa to dwie przyczyny, które mogą spowodować, że nowsze urządzenie staną się podatne na to cyberzagrożenie.
Malware-as-a-Service (MAAS) to model subskrypcji, który pozwala organizacjom przestępczym kupować złośliwe oprogramowanie z różnych rynków i wykorzystywać je do swoich operacji. Chociaż Rafel RAT nie mieści się w modelu MAAS ze względu na swój charakter open source, może się to zmienić w miarę rozwoju jego projektu i użytkowania.
Jak dochodzi do zakażenia?
Poniższa grafika ilustruje kroki, które należy wykonać, aby Rafel RAT trafił do systemu ofiary. Kampania phishingowa to jedna z metod inicjowania pierwszego kroku w procesie pobierania Rafel RAT na urządzenie docelowe. Gdy użytkownik kliknie złośliwy obiekt lub link w wiadomości e-mail, następuje pobieranie, a następnie proces instalacji. Warto zauważyć, że urządzenie z systemem Android nie musi być zrootowane, aby proces pobierania i instalacji mógł się odbyć.
Po zakończeniu instalacji Rafel RAT aktywuje proces żądania uprawnień; może pojawić się monit, aby użytkownik zaakceptował uprawnienia do włączania powiadomień i zezwolił na dostęp do kilku ustawień i aplikacji. Po kliknięciu przez użytkownika przycisku allow w monitach w celu udzielenia uprawnień atakujący ma podwyższone uprawnienia do dostępu do następujących usług Androida: System i pamięć masowa, aparat i mikrofon, kontakty, połączenia i wiadomości.
Wyposażony w dostęp do tych usług, przestępca może ukraść informacje o urządzeniu, koncie e-mail, danych uwierzytelniających, a także ma możliwość przejęcia kontroli nad urządzeniem, w tym możliwość zablokowania go i ustawienia nowego kodu PIN. Ważne jest, aby pamiętać, że chociaż atak Rafel RAT może zakłócić zdolność użytkownika do uruchamiania i zatrzymywania aplikacji lub procesów, a także może prowadzić do utraty danych z powodu celowego usuwania plików przez atakującego, całkowita utrata funkcjonalności urządzenia nie jest wynikiem związanym z tym atakiem.
Po trzecim kroku procesu atakujący ma dwie opcje. Może albo kontynuować 4A: Wdrażanie oprogramowania ransomware, albo bardziej powszechny wybór 4B: Ustanowienie dodatkowej trasy wzdłuż serwera C2, aby kontynuować eksfiltrację danych i przechwytywanie kodów uwierzytelniających.
Podstawowe możliwości Rafel RAT
Jeśli przyjrzeć się bliżej konstrukcji złośliwego oprogramowania, idealne oprogramowanie na Androida będzie działać w sposób podobny do innych typów złośliwego oprogramowania: Rafel RAT uzyskuje dostęp do systemu docelowego, zmienia jego ustawienia, nawiązuje połączenie z siecią atakującego i wykrada dane oraz inne zasoby zebrane w trakcie tego procesu.
Zaawansowane możliwości Rafel RAT
Poniższa tabela przedstawia większe możliwości Rafel RAT, które wyróżniają go na tle innych popularnych trojanówna Androida.
Funkcjonalność oprogramowania ransomware
Ważne jest, aby zauważyć, że podczas gdy panel ransomware Rafel RAT zawiera możliwość uruchomienia ataku ransomware, sam Rafel RAT jest tylko narzędziem do dostarczania tej broni. Rafel RAT to złośliwe oprogramowanie, które jest zaprojektowane głównie w celu szpiegowania ofiar i kradzieży danych i komunikacji. Poniższa grafika rozszerza łańcuch działań, które mają miejsce po kampanii phishingowej.
Możliwości antyanalizy
Rafel RAT nie wykorzystuje technik pakowania ani zaciemniania, aby ukryć swoje złośliwe atrybuty. Jednak Rafel RAT ma właściwości wykrywania emulacji, które spowodują, że zakłóci lub zatrzyma złośliwe procesy w przypadkach, gdy zostanie wykryte środowisko analizy lub testowania. W rezultacie badacze muszą zachować należytą staranność przy wyborze metod analizy próbek Rafel RAT i omijania wykrywania emulacji.
Wnioski i rekomendacje od zespołu Bitdefender
Rafel RAT stanowi duże zagrożenie dla użytkowników Androida, zwłaszcza tych, którzy mają urządzenia z Androidem w wersji starszej niż 11. Ofiary cybernetycznego szpiegostwa i kradzieży danych są powszechne w obecnym krajobrazie zagrożeń. W związku z tym użytkownicy muszą zachować ostrożność, uzyskując dostęp do nieznanych lub podejrzanych linków i aplikacji. Powinni być na bieżąco, aby rozpoznawać oznaki infekcji złośliwym oprogramowaniem i rozumieć najlepsze praktyki, aby zachować dobrą higienę cybernetyczną.
Użytkownicy, którzy obawiają się, że ich urządzenie z systemem Android zostało zainfekowane, powinni monitorować swoje urządzenie pod kątem następujących zmian:
Nagłe ograniczenia (wpływające na korzystanie z telefonu, aplikacji lub zmianę uprawnień).
Niespójna żywotność baterii.
Niezapowiedziane blokady ekranu.
Spowolnienie działania urządzenia.
Nowe aplikacje i usługi.
Brakujące pliki lub katalogi.
Organizacja, która wdraża najlepsze praktyki cyberbezpieczeństwa, może zmniejszyć ryzyko stania się ofiarą ataku Rafel RAT. Praktyki te obejmują włączenie wywiadu dotyczącego zagrożeń, zarządzania poprawkami i procesów bezpieczeństwa urządzeń mobilnych do dojrzałego programu bezpieczeństwa informacji.
Zaawansowana inteligencja zagrożeń: Odpowiednie rozwiązania w zakresie inteligencji zagrożeń mogą zapewnić krytyczne informacje o atakach. Bitdefender IntelliZone to łatwe w użyciu rozwiązanie, które konsoliduje całą wiedzę, jaką zebraliśmy na temat cyberzagrożeń i powiązanych aktorów zagrożeń, w jednym panelu dla analityków bezpieczeństwa, w tym dostęp do usługi analizy złośliwego oprogramowania nowej generacji Bitdefender. Jeśli masz już konto IntelliZone, możesz znaleźć dodatkowe ustrukturyzowane informacje w identyfikatorach zagrożeń BD8svvodp8, BDuq18888y, BDgo7ejvh8, BDqnetx899, BDsd3agxn3, BDgl4j8m5n i BDdvnaspz1.
Zarządzanie urządzeniami mobilnymi: Organizacje korzystające z rozwiązania MDM w celu egzekwowania wymogów bezpieczeństwa systemów i aplikacji mogą zminimalizować ryzyko wykorzystania luk w zabezpieczeniach urządzeń.
Mobile Threat Defense: MTD lub Mobile Threat Defense dodaje inny rodzaj ochrony dla ekosystemu mobilnego na MDM. W przeciwieństwie do MDM celem Mobile Threat Defense jest ochrona urządzeń mobilnych przed cyberzagrożeniami i atakami, a tym samym ochrona poufnych danych i zachowanie prywatności użytkownika. Jest to jedyne rozwiązanie odpowiedzialne za eliminację cyberzagrożeń.
Aby uzyskać więcej informacji na temat Bitdefender Mobile Security i dostępnych rozwiązań chroniących Twoje urządzenia i dane, sprawdź tę stronę.
Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.