知名網(wǎng)絡(luò)安全公司Check Point Research(CPR)在最新的研究報(bào)告中指出，一種名為Rafel的開源遠(yuǎn)程控制木馬(RAT)正被用于攻擊安卓設(shè)備，竊取數(shù)據(jù)、監(jiān)視用戶甚至鎖定手機(jī)，全球超過39億安卓設(shè)備面臨與該木馬相關(guān)的網(wǎng)絡(luò)間諜和勒索軟件攻擊。

報(bào)告指出，Rafel RAT功能強(qiáng)大，被多方惡意勢(shì)力用于間諜活動(dòng)和秘密情報(bào)竊取。例如，臭名昭著的黑客組織APT-C-35/DoNot Team就利用了Rafel的遠(yuǎn)程訪問、監(jiān)視、數(shù)據(jù)竊取和持久化等功能，對(duì)安卓設(shè)備發(fā)動(dòng)攻擊。

DoNot Team一直以安卓設(shè)備為主要攻擊目標(biāo)。2020年11月，該組織通過谷歌Firebase云消息傳遞服務(wù)傳播安卓惡意軟件。2021年10月，天網(wǎng)國際組織(Amnesty International)將針對(duì)多個(gè)活動(dòng)人士的惡意軟件攻擊歸咎于該組織，并追蹤到攻擊使用的IP地址之一，將幕后黑手鎖定為印度網(wǎng)絡(luò)安全公司Innefu Labs。

在最新的RafelRAT攻擊中，CPR收集了多個(gè)惡意軟件樣本并追蹤到120個(gè)控制服務(wù)器。令人驚訝的是，三星手機(jī)成為受影響最嚴(yán)重的設(shè)備品牌，而美國、中國和印度則是此次攻擊的主要目標(biāo)國家。報(bào)告指出：“大多數(shù)受害者使用的是三星手機(jī)，小米、vivo和華為用戶緊隨其后?！边@可能與這些品牌的市場(chǎng)份額較高有關(guān)，用戶基數(shù)龐大也讓它們成為攻擊者的主要目標(biāo)。

報(bào)告還指出，超過87%的受害者使用的都是已經(jīng)過時(shí)的安卓版本，這些系統(tǒng)不再能獲得安全更新，缺乏關(guān)鍵的安全補(bǔ)丁，更容易受到惡意軟件的侵害。其中，安卓11是受影響最嚴(yán)重的版本，其次是安卓8和安卓5。

正如即便在2014年停止更新后，Windows XP系統(tǒng)仍然飽受各種惡意軟件威脅一樣，安卓系統(tǒng)也面臨著類似的問題。

CPR在研究中發(fā)現(xiàn)了三種Rafel RAT的具體應(yīng)用案例：

實(shí)施勒索軟件攻擊

泄露雙因素認(rèn)證信息

在巴基斯坦政府網(wǎng)站上架設(shè)Rafel的控制服務(wù)器，顯示了此類威脅的普遍性

安全專家John Bambenek評(píng)論道：“本質(zhì)上，手機(jī)惡意軟件通常偽裝成應(yīng)用程序，誘騙用戶安裝。谷歌一直在努力確保這類應(yīng)用無法進(jìn)入Play商店，或者至少無法長(zhǎng)時(shí)間存在。用戶千萬不要根據(jù)短信安裝應(yīng)用程序。此外，定期更新手機(jī)系統(tǒng)也非常重要，確保您運(yùn)行的是最新版本?！?/span>

CPR的研究強(qiáng)調(diào)了持續(xù)警惕和采取積極安全措施的重要性，以保護(hù)安卓設(shè)備免受惡意攻擊。同時(shí)，建議用戶始終從可信賴的來源（例如Google Play商店）安裝應(yīng)用，避免安裝第三方來源的應(yīng)用，并檢查應(yīng)用程序的權(quán)限和評(píng)論，保障安卓手機(jī)的安全。

參考鏈接：

https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/

來源：GoUpSec