Securitybedrijf Check Point Research heeft meerdere gevallen van Android-malware gevonden die gebruikmaken van Rafel, een zogeheten opensource Remote Administration Tool (RAT) die Android-telefoons viseert. De onderzoekers ontdekten ook dat deze malware wordt ingezet bij spionage en ransomware-operaties.
Rafel RAT is volgens CPR betrokken bij phishing-campagnes waarbij slachtoffers worden misleid om kwaadaardige apps te downloaden die populaire diensten nabootsen. Zo troffen de onderzoekers apps aan met een valse naam die bekende appstores imiteerden (Google Play, BlackMart, …), maar ook sociale media (Instagram), financiële apps, navigatietoepassingen en tools als Unlimited Bomber en ScammersExposed.
Beveiliging omzeild
Eenmaal geïnstalleerd, injecteert een dergelijke app de malware in de mobiele telefoon. Dat geeft kwaadwillenden vervolgens verschillende soorten mogelijkheden, gaande van spionage over gegevensdiefstal tot aanvallen met ransomware. Sommige slachtoffers moesten zelfs met lede ogen aanzien hoe aanvallers in staat bleken om hun bestanden te encrypteren.
De onderzoekers zagen in een periode van twee jaar meer dan 120 voorbeelden van misbruik, waarbij beveiligingsprocedures (inclusief tweefactorauthenticatie) werden omzeild die juist bedoeld waren om gebruikers te beschermen tegen hackers.
Verouderde Android-versies
Rafel RAT komt wereldwijd voor, maar Check Point Research telde de meeste slachtoffers in de Verenigde Staten, China en Indonesië. De toestellen die het vaakst besmet waren, zijn telefoons Samsung, Xiaomi, Vivo en Huawei. In de meeste gevallen draaiden op verouderde Android-versies, wat het belang van regelmatige updates en beveiligingspatches benadrukt.
‘Rafel RAT herinnert ons er aan hoe opensource malwaretechnologie aanzienlijke schade kan aanrichten, vooral wanneer het zich richt op grote ecosystemen zoals Android, met wereldwijd meer dan 3,9 miljard gebruikers’, reageert Lieven Van Rentergem, security engineer expert bij Check Point Software Technologies.
Fout opgemerkt of meer nieuws? Meld het hier