Android-Malware Rafel RAT aufgedeckt

Check Point Research haben die weitreichende Nutzung von Rafel, einem Open-Source-Remote-Administrationstool (RAT), durch verschiedene Bedrohungsakteure aufgedeckt. Die Malware zielt auf Smartphones, die unter Android laufen – entsprechend lang ist die Liste potenzieller Opfer, denn derzeit gibt es rund 3,9 Milliarden aktive Android-Nutzer in 190 Ländern.

Smartphones von Samsung, Xiaomi, Vivo und Huawei betroffen

CPR sammelte mehrere Malware-Samples von besagtem Android-RAT und zählte etwa 120 Command-and-Control-Server. Bei der Analyse stellte CPR fest, dass die USA, China und Indonesien die am stärksten betroffenen Länder waren. In Europa trafen die meisten Angriffe Geräte in Frankreich und Italien, dahinter stehen Deutschland, Tschechien und Russland als meistbetroffene Länder.

Die meisten Opfer besaßen Samsung-Telefone, während Nutzer von Xiaomi, Vivo und Huawei die zweitgrößte Gruppe unter den betroffenen Opfern bildeten. Das Ergebnis entspricht der Marktanteile und Beliebtheit der entsprechenden Geräte in den jeweiligen Märkten und Ländern.

Die Entdeckung einer Spionagegruppe, die Rafel für ihre Operationen nutzt, zeigt die Wirksamkeit des Tools für verschiedene Bedrohungsprofile und operative Ziele auf. In einem früheren Forschungsbericht stellte CPR fest, dass APT-C-35 / DoNot Team Rafel RAT einsetzt. Die Funktionen und Fähigkeiten von Rafel, zum Beispiel Fernzugriff, Überwachung, Datenexfiltration und Persistenzmechanismen, machen es zu einem wirksamen Werkzeug für die Durchführung verdeckter Operationen und die Infiltrierung hochkarätiger Ziele.

Ransomware-Operationen, 2FA-Umgehung und State Hacking

Die Sicherheitsexperten haben drei spezifische Fälle eingehend analysiert. Der erste war eine Android-Ransomware-Operation, bei der der Bedrohungsakteur die Dateien des Geräts verschlüsselte. Der zweite Fall waren durchgesickerte Zwei-Faktor-Authentifizierungsnachrichten (2FA), die möglicherweise zur Umgehung von 2FA führen könnten, und der letzte Fall war ein Bedrohungsakteur, der Rafel Command and Control auf einer gehackten Regierungswebseite installierte und Geräte infizierte, die sich dort anmeldeten.

Von Rafel RAT betroffene Android-Versionen (Quelle: Check Point 2024)

Brisant ist außerdem die Verteilung der Android-Versionen unter den am meisten betroffenen Opfern. Trotz der Vielfalt der Android-Versionen kann Malware in der Regel mit allen Versionen arbeiten. Neuere Versionen des Betriebssystems stellen die Malware jedoch in der Regel vor größere Herausforderungen bei der Ausführung ihrer Funktionen. Mehr als 87 Prozent der betroffenen Opfer verwenden Android-Versionen, die nicht mehr unterstützt werden und folglich keine Sicherheitsupdates erhalten.

Roger Homrich

Recent Posts

Bedrohungsakteure profitieren von mangelhaft konfigurierten Cloud-Umgebungen

Auf Microsoft Azure sind laut einer Studie von Elastic Fehlkonfigurationen von Speicherkonten weit verbreitet. Probleme…

1 Stunde ago

Baseus Bowie 30 Max: Erste Bluetooth-Kopfhörer mit Head-Tracking-Spatial-Audio

Neue Over-Headset-Kopfhörer von Baseus bieten Raumklang-Audio und unterdrücken Störgeräusche um rund 96 Prozent.

5 Stunden ago

Apple schließt zwei Sicherheitslücken in iOS 18 und iPadOS 18

Die neue OS-Version gibt unter Umständen Kennwörter preis. Das Update soll aber auch die Leistung…

7 Stunden ago

Studie: Sorge über Cyberangriff auf eigenes Auto

Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.

3 Tagen ago

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…

3 Tagen ago

Firefox 131 führt temporäre Website-Berechtigungen ein

Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…

5 Tagen ago