知名網(wǎng)絡(luò)安全公司Check Point Research(CPR)在最新的研究報告中指出,一種名為Rafel的開源遠(yuǎn)程控制木馬(RAT)正被用于攻擊安卓設(shè)備,竊取數(shù)據(jù)、監(jiān)視用戶甚至鎖定手機(jī),全球超過39億安卓設(shè)備面臨與該木馬相關(guān)的網(wǎng)絡(luò)間諜和勒索軟件攻擊。
報告指出,Rafel RAT功能強(qiáng)大,被多方惡意勢力用于間諜活動和秘密情報竊取。例如,臭名昭著的黑客組織APT-C-35/DoNot Team就利用了Rafel的遠(yuǎn)程訪問、監(jiān)視、數(shù)據(jù)竊取和持久化等功能,對安卓設(shè)備發(fā)動攻擊。
DoNot Team一直以安卓設(shè)備為主要攻擊目標(biāo)。2020年11月,該組織通過谷歌Firebase云消息傳遞服務(wù)傳播安卓惡意軟件。2021年10月,天網(wǎng)國際組織(Amnesty International)將針對多個活動人士的惡意軟件攻擊歸咎于該組織,并追蹤到攻擊使用的IP地址之一,將幕后黑手鎖定為印度網(wǎng)絡(luò)安全公司Innefu Labs。
在最新的RafelRAT攻擊中,CPR收集了多個惡意軟件樣本并追蹤到120個控制服務(wù)器。令人驚訝的是,三星手機(jī)成為受影響最嚴(yán)重的設(shè)備品牌,而美國、中國和印度則是此次攻擊的主要目標(biāo)國家。
報告還指出,超過87%的受害者使用的都是已經(jīng)過時的安卓版本,這些系統(tǒng)不再能獲得安全更新,缺乏關(guān)鍵的安全補(bǔ)丁,更容易受到惡意軟件的侵害。其中,安卓11是受影響最嚴(yán)重的版本,其次是安卓8和安卓5。
正如即便在2014年停止更新后,Windows XP系統(tǒng)仍然飽受各種惡意軟件威脅一樣,安卓系統(tǒng)也面臨著類似的問題。
CPR在研究中發(fā)現(xiàn)了三種Rafel RAT的具體應(yīng)用案例:
-
實施勒索軟件攻擊 -
泄露雙因素認(rèn)證信息 -
在巴基斯坦政府網(wǎng)站上架設(shè)Rafel的控制服務(wù)器,顯示了此類威脅的普遍性
安全專家John Bambenek評論道:“本質(zhì)上,手機(jī)惡意軟件通常偽裝成應(yīng)用程序,誘騙用戶安裝。谷歌一直在努力確保這類應(yīng)用無法進(jìn)入Play商店,或者至少無法長時間存在。用戶千萬不要根據(jù)短信安裝應(yīng)用程序。此外,定期更新手機(jī)系統(tǒng)也非常重要,確保您運行的是最新版本。”
CPR的研究強(qiáng)調(diào)了持續(xù)警惕和采取積極安全措施的重要性,以保護(hù)安卓設(shè)備免受惡意攻擊。同時,建議用戶始終從可信賴的來源(例如Google Play商店)安裝應(yīng)用,避免安裝第三方來源的應(yīng)用,并檢查應(yīng)用程序的權(quán)限和評論,保障安卓手機(jī)的安全。
參考鏈接:
https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/
