Устройствам под Android по всему миру угрожает троян с очень эффективным шифровальным модулем
Вредоносная программа Rafel RAT преимущественно используется для атак на устаревшие версии Android, но срабатывает на множестве моделей от самых разных вендоров. Троянец снабжён весьма эффективным шифровальным модулем.
120 кампаний
Устаревшим устройствам под управлением ОС Android массово угрожает новый вредонос, одновременно запущенный несколькими группами киберзлоумышленников.
Программа Rafel RAT, как можно понять из её названия, является, в первую очередь, троянцем для обеспечения удалённого доступа. У неё, однако, есть свои особенности: во-первых, это модуль шифрования, который злоумышленники используют для вымогательства; во-вторых, Rafel RAT, как ни странно, является программой с открытым исходным кодом.
Эксперты компании Check Point Антонис Терефос (Antonis Terefos) и Богдан Мельников выявили к настоящему времени более 120 кампаний, использующих Rafel RAT. Часть из них проводится с территорий Ирана и Пакистана.
Основными мишенями оказались организации в оборонительном секторе и органы власти в США, Китае и Индонезии.
По данным Check Point, большинство жертв пользовались устаревшими устройствами, не получавшими обновления безопасности от вендора: в 87,5% случаев атак, речь шла о смартфонах под управлением Android 11 и старше.
Лишь 12,5% заражённых устройств работали под управлением Android 12/13.
Разброс в моделях оказался очень велик: среди пострадавших - Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, а также устройства OnePlus, Vivo и Huawei.
Учитывая, что каждый вендор вносит свои, пусть и некритические, но существенные изменения в операционную систему, можно утверждать, что Rafel - весьма универсальный инструмент.
Посторонние источники
Распространение вредоноса осуществляется разными способами, но чаще всего злоумышленники пытаются выдавать его установочные .APK-файлы за дистрибутивы социальных сетей, мессенджеров, клиентов платформ электронной коммерции или антивирусных приложений.
В ходе установки вредонос требует себе всевозможные разрешения, в том числе - исключения из списка приложений, приостанавливаемых в фоновом режиме.
Дальше вредонос может заблокировать устройство, зашифровать или удалить файлы на нём, а также перенаправить все SMS-сообщения и коды двухфакторной авторизации на контрольный сервер, а также направить туда информацию о геолокации устройства.
Информация о заражённом устройстве выводится в панели управления вредоносом, так что оператор может решать, что именно с ним делать дальше.
По данным Check Point, лишь в 10,3% случаев злоумышленники давали команду на запуск модуля шифрования.
Как отметили исследователи, иранские хакеры использовали Rafel RAT для проведения разведывательных действий, и лишь затем запускали шифровальщик. Видимо, в порядке маскировки основной деятельности. Вымогательский эпизод был довольно заметным: злоумышленники стёрли всё историю звонков, заменили фон экрана на сообщение с требованием выкупа, заблокировали экран и, вдобавок, отправили SMS с требованием, опять же, поторопиться с «решением проблемы».
«Подобные атаки возможны только в тех случаях, когда жертвы поддаются на уговоры скачать и установить что-либо не из официальных магазинов приложений», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. Она уточнила, что ничего не скачивать и не устанавливать из неподтверждённых источников - это базовый принцип обеспечения безопасности мобильных устройств.
Эксперт добавила, что во избежание атак не следует также переходить по ссылкам из почты или SMS, предварительно не подтвердив источник сообщения, а кроме того необходимо сканировать приложения как минимум общедоступными средствами защиты перед их запуском.