innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Androidデバイスを狙うRafel RAT、偽アプリでデータ盗難から操作まで可能に

Androidデバイスを狙うRafel RAT、偽アプリでデータ盗難から操作まで可能に - innovaTopia - (イノベトピア)

Last Updated on 2024-06-25 04:19 by admin

複数の脅威アクターが、オープンソースのAndroidリモート管理ツールであるRafel RATを使用して、Instagram、WhatsApp、さまざまなeコマースおよびアンチウイルスアプリとして偽装し、Androidデバイスを標的にしている。このツールは、データ盗難からデバイスの操作まで、悪意のある活動を可能にする強力なリモート管理および制御のツールキットを提供する。Rafel RATは、SDカードのワイプ、通話記録の削除、通知の盗み取り、ランサムウェアとしての機能など、幅広い機能を備えている。

Check Pointによる分析によると、DoNot Team(別名APT-C-35、Brainworm、Origami Elephant)がFoxit PDF Readerの設計上の欠陥を利用してユーザーを騙し、悪意のあるペイロードをダウンロードさせるサイバー攻撃でRafel RATの使用を以前に強調していた。このキャンペーンは2024年4月に行われ、軍事関連のPDFを餌にしてマルウェアを配布したとされる。Check Pointは、オーストラリア、中国、チェコ、フランス、ドイツ、インド、インドネシア、イタリア、ニュージーランド、パキスタン、ルーマニア、ロシア、米国など、さまざまな国を対象とした約120の異なる悪意のあるキャンペーンを特定した。

被害者の大多数はSamsungの電話を使用しており、Xiaomi、Vivo、Huaweiのユーザーが次に多いグループを構成している。感染したデバイスの87.5%以上が、セキュリティ修正を受けられない古いAndroidバージョンを実行している。典型的な攻撃チェーンは、ソーシャルエンジニアリングを使用して被害者に侵入的な権限をマルウェアに与えさせ、連絡先情報、SMSメッセージ(例:2FAコード)、位置情報、通話記録、インストールされたアプリケーションのリストなどの機密データを盗み出す。

Rafel RATは主にHTTP(S)を使用してコマンドアンドコントロール(C2)通信を行い、Discord APIを利用して脅威アクターと連絡を取ることもできる。また、登録ユーザーがコンプロマイズされたデバイスにコマンドを発行できるPHPベースのC2パネルも付属している。イランからの攻撃者がパキスタンの被害者にアラビア語で書かれた身代金要求のSMSを送り、Telegramで連絡するよう促したランサムウェア作戦でのその効果が証明されている。

Rafel RATは、そのオープンソースの性質、広範な機能セット、さまざまな不正な活動での広範な利用により、Androidマルウェアの進化する風景の顕著な例である。Rafel RATの普及は、Androidデバイスを悪意のある搾取から保護するために、継続的な警戒と積極的なセキュリティ対策が必要であることを強調している。

【ニュース解説】

複数の脅威アクターが、Androidデバイスを標的にするために、オープンソースのAndroidリモート管理ツールであるRafel RATを使用していることが明らかになりました。このツールは、Instagram、WhatsApp、さまざまなeコマースおよびアンチウイルスアプリとして偽装され、データ盗難からデバイスの操作まで、幅広い悪意のある活動を可能にします。Rafel RATは、SDカードのワイプ、通話記録の削除、通知の盗み取り、ランサムウェアとしての機能など、多岐にわたる機能を備えています。

このツールの使用は、サイバー攻撃において特に注目されており、例えば、DoNot Team(別名APT-C-35、Brainworm、Origami Elephant)がFoxit PDF Readerの設計上の欠陥を利用した攻撃で使用されました。この攻撃では、軍事関連のPDFを餌にしてマルウェアを配布し、多国籍にわたる約120の異なる悪意のあるキャンペーンが特定されています。

感染したデバイスの大部分は古いAndroidバージョンを実行しており、セキュリティ修正を受けられない状態にあります。攻撃者はソーシャルエンジニアリングを駆使して被害者に侵入的な権限を与えさせ、機密データを盗み出します。Rafel RATはHTTP(S)やDiscord APIを通じてコマンドアンドコントロール(C2)通信を行い、PHPベースのC2パネルを通じてコンプロマイズされたデバイスにコマンドを発行することが可能です。

このツールの普及は、Androidマルウェアの進化する風景を示しており、オープンソースの性質、広範な機能セット、さまざまな不正な活動での広範な利用が特徴です。Rafel RATの存在は、Androidデバイスを保護するために、継続的な警戒と積極的なセキュリティ対策が必要であることを強調しています。

この事態は、個人ユーザーだけでなく、企業や組織にとっても重要な警告です。セキュリティ対策の強化、特に古いシステムの更新や、不審なアプリのダウンロードを避けるための教育が急務となります。また、オープンソースツールの二面性を理解し、その利用を慎重に行う必要があります。長期的には、セキュリティコミュニティとデバイスメーカーが連携し、より安全なAndroidエコシステムの構築に努めることが求められます。

from Multiple Threat Actors Deploying Open-Source Rafel RAT to Target Android Devices.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Androidデバイスを狙うRafel RAT、偽アプリでデータ盗難から操作まで可能に

Latest News