Wouter Hoeffnagel - 04 juli 2024

Opensource-malware ingezet voor spionage en ransomware-operaties

Check Point Research (CPR) waarschuwt voor meerdere soorten Android-malware die gebruikmaken van Rafel. Deze opensource Remote Administration Tool (RAT) is specifiek gericht op Android-telefoons. Onderzoekers ontdekten het gebruik van deze Android-malware bij spionage - met focus op monitoring op afstand en data-exfiltratie - en ransomware-operaties.

Opensource-malware ingezet voor spionage en ransomware-operaties image

Rafel RAT is betrokken bij phishing-campagnes, waarbij slachtoffers worden misleid om kwaadaardige apps te downloaden die populaire diensten (waaronder sociale media) nabootsen. Zo vonden de onderzoekers voorbeelden waarbij kwaadaardige apps met een valse naam en pictogram bekende appstores imiteerden (Google Store, BlackMart, BlackMart-MOD), maar ook sociale media, waaronder Instagram, finance apps, kaarten en navigatie apps en tools zoals Unlimited Bomber, ScammersExposed en Lite-app.

In meerdere landen ingezet

Door zo’n kwaadaardige app te installeren, wordt de malware in de mobiele telefoon geïnjecteerd, wat kwaadwillenden vervolgens verschillende soorten mogelijkheden geeft, van spionage tot ransomware. De onderzoekers zagen in een periode van twee jaar in meerdere landen wereldwijd meer dan 120 voorbeelden van misbruik, waarbij verschillende beveiligingsprocedures werden omzeild die bedoeld waren om deze mobiele gebruikers te beschermen tegen hackers.

Rafel RAT kent een brede impact en is gebruikt in meer dan 120 campagnes, met de meeste slachtoffers in de Verenigde Staten, China en Indonesië. De meeste besmette apparaten zijn telefoons van Samsung, Xiaomi, Vivo en Huawei. De meeste getroffen apparaten draaien op verouderde Android-versies, wat het belang van regelmatige updates en beveiligingspatches benadrukt. De mogelijkheden van Rafel RAT omvatten externe toegang, surveillance, gegevensdiefstal en zelfs encryptie van de bestanden van slachtoffers

Rafel RAT werd gevonden op een gehackte overheidswebsite in Pakistan waarbij het geïnfecteerde apparaten omleidde om terug te rapporteren naar deze server. Rafel RAT wordt gebruikt voor ransomware-operaties om apparaatbestanden te coderen, waarbij losgeld wordt geëist voor decodering. De malware is ook in verband gebracht met het stelen van tweefactorauthenticatieberichten, waardoor deze cruciale beveiligingsmaatregel mogelijk wordt omzeild.

'Houd apparaten up-to-date'

“Rafel RAT herinnert ons er opnieuw aan hoe opensource malwaretechnologie aanzienlijke schade kan aanrichten, vooral wanneer het zich richt op grote ecosystemen zoals Android, met meer dan 3,9 miljard gebruikers wereldwijd. De meeste getroffen slachtoffers gebruikten niet-ondersteunde Android-versies, wat het belang onderstreept om ervoor te zorgen dat apparaten up-to-date zijn met de meest recente beveiligingsoplossingen of ze te vervangen als ze geen updates meer ontvangen. Prominente bedreigingsactoren en zelfs APT-groepen zijn altijd op zoek naar nieuwe aanvalsmethoden. Direct beschikbare tools zoals Rafel RAT kunnen leiden tot het buitmaken van belangrijke data, met behulp van gelekte tweefactorauthenticatiecodes, surveillancepogingen en geheime operaties, die bijzonder verwoestend kunnen zijn wanneer ze worden gebruikt tegen spraakmakende doelen”, reageert Zahier Madhar, security engineer expert bij Check Point Software Technologies.

Madhar vervolgt: "RAT als Rafel wordt steeds toegankelijker en steeds eenvoudiger om te gebruiken voor hackers. Kwaadwillenden hoeven hiervoor niet eens meer op het darkweb te zijn; Rafel RAT kun je simpel vanaf github downloaden. Bij de download komt zelfs een goede beschrijving hoe je RAT kunt gebruiken. Voor het aanpassen van de code (scripts) kunnen de minder technische hackers generatieve AI gebruiken om aanpassingen naar wens door te voeren zonder dat ze daar zelf technische kennis voor nodig hebben. Het is dan ook de verwachting dan dit soort type malware niet zo zeer complexer zal worden, maar dat er vooral meer van zal komen."

Aanbevelingen

Check Point Research deelt de volgende veiligheidsaanbevelingen voor Android-gebruikers:

  • Download apps van vertrouwde bronnen: installeer alleen apps via gerenommeerde appstores zoals Google Play. Vermijd bronnen van derden.
  • Houd software bijgewerkt: Regelmatige updates zorgen ervoor dat apparaten kritieke beveiligingspatches ontvangen.
  • Gebruik mobiele beveiligingsoplossingen: Betrouwbare beveiligingsapps bieden realtime bescherming tegen malware en andere bedreigingen.
Schneider Electric 18/12/2024 t/m 25/12/2024 BW DIC Awards 5/12/2024 t/m 20/03/2025 BW
DIC Awards 5/12/2024 t/m 20/03/2025 BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!