Rafel RAT
Plusieurs acteurs malveillants, notamment des groupes de cyberespionnage, utilisent un outil d'administration à distance Android open source connu sous le nom de Rafel RAT. Ils le déguisent en applications populaires comme Instagram, WhatsApp et diverses applications de commerce électronique et anti-malware pour atteindre leurs objectifs nuisibles.
Le Rafel RAT fournit à ces acteurs une boîte à outils robuste pour l'administration et le contrôle à distance, facilitant diverses activités néfastes telles que le vol de données et la manipulation d'appareils. Ses fonctionnalités étendues incluent l’effacement des cartes SD, la suppression des journaux d’appels, l’interception des notifications et même le fonctionnement comme un ransomware.
Table des matières
Le Rafael RAT a été détecté lors de nombreuses campagnes d'attaque
Des experts en cybersécurité ont déjà souligné l'utilisation du Rafel RAT par APT-C-35 (également connu sous le nom de DoNot Team, Brainworm et Origami Elephant) dans des attaques exploitant un défaut de conception de Foxit PDF Reader pour inciter les utilisateurs à télécharger des charges utiles menaçantes. Cette campagne, qui a eu lieu en avril 2024, a utilisé des leurres PDF sur le thème militaire pour diffuser le logiciel malveillant.
Les experts ont identifié environ 120 campagnes nuisibles différentes, dont certaines ciblant des entités de premier plan, dans divers pays tels que l'Australie, la Chine, la Tchéquie, la France, l'Allemagne, l'Inde, l'Indonésie, l'Italie, la Nouvelle-Zélande, le Pakistan, la Roumanie, la Russie et les États-Unis.
La majorité des victimes possédaient des téléphones Samsung, suivis par les utilisateurs d'appareils Xiaomi, Vivo et Huawei. Notamment, environ 87,5 % des appareils infectés utilisaient des versions Android obsolètes qui ne reçoivent plus de mises à jour de sécurité.
Le Rafel RAT peut compromettre un large éventail de données sensibles
Les chaînes d'attaque typiques impliquent des tactiques d'ingénierie sociale pour inciter les victimes à accorder des autorisations intrusives aux applications infectées par des logiciels malveillants. Ces autorisations permettent au malware de collecter des données sensibles, notamment des informations de contact, des messages SMS (tels que les codes 2FA), l'emplacement, les journaux d'appels et les listes d'applications installées, entre autres données.
Le Rafel RAT utilise principalement HTTP(S) pour les communications de commande et de contrôle (C2), mais peut également utiliser les API Discord pour communiquer avec les acteurs malveillants. De plus, il comporte un panneau C2 basé sur PHP que les utilisateurs enregistrés peuvent utiliser pour émettre des commandes vers des appareils compromis.
Les utilisateurs d'Android restent une cible fréquente des cybercriminels
L'efficacité de l'outil face à différents acteurs de la menace est validée par son implication dans une opération de ransomware menée par un attaquant qui serait originaire d'Iran. L'attaquant a envoyé une demande de rançon en arabe par SMS, exhortant une victime au Pakistan à la contacter via Telegram.
Le Rafel RAT illustre le domaine évolutif des logiciels malveillants Android, se distinguant par sa conception open source, sa gamme complète de fonctionnalités et son déploiement étendu dans diverses activités illicites. Son utilisation généralisée souligne l’importance d’une vigilance continue et de mesures de sécurité proactives pour protéger les appareils Android contre une exploitation nuisible.
