Rafel RAT，一款开源的 Android 恶意软件，因其针对旧版 Android 设备的攻击而成为热门话题。它被用于勒索软件操作，吸引了网络安全专家的注意，因为许多网络犯罪集团普遍使用它来攻击不再接受常规安全更新的设备。

这些过时的设备更容易受到攻击，因为它们无法防御新发现的漏洞。随著在全球设备中蔓延的情况令人担忧，了解这一威胁对所有 Android 用户而言至关重要。请在下文中了解更多有关 Rafel RAT 及如何保护您的设备的信息！

Rafel RAT 的范围与影响

Check Point 的研究人员 Antonis Terefos 和 Bohdan Melnykov 已 识别出超过 120 个活动 在部署 Rafel RAT。他们将其中一些活动追溯到著名的威胁行为者，如 APTC35也称为 DoNot Team，并确定伊朗和巴基斯坦是这些攻击的主要来源。

Rafel RAT 成功渗透了政府和军事等高端组织，受害者主要来自美国、中国和印尼。受 Rafel 攻击的设备运行于 Android 11 或之前的版本，这些设备占受影响设备的 875。

其余 125 则运行于较新的操作系统，即 Android 12 和 13。在设备的脆弱性方面，受影响的型号包括 Samsung Galaxy、Google Pixel、Xiaomi Redmi、Motorola One，以及 OnePlus、Vivo 和 Huawei 等其他品牌。这基本上意味著没有品牌是 Rafel RAT 的安全净土。

Rafel RAT 针对的主要型号来源：Check Point

Rafel RAT 的攻击途径与命令

该恶意软件以假冒受信任品牌如 Instagram、WhatsApp 和各种电子商务及杀毒应用程序的合法应用程序进行扩散。它诱使用户下载请求过多权限的恶意 APK 文件，例如要求禁用电池优化，以便在背景中无法被检测到。

一旦安装，Rafel RAT 可以执行多项有害操作：

命令 描述 ransomware 开始加密设备上的文件。 wipe 删除指定目录中的所有文件。 LockTheScreen 锁定设备屏幕，让其无法使用。 smsoku 将所有 SMS 讯息和 2FA 代码传送到 C2 伺服器。 locationtracker 将设备的实时位置发送到 C2 伺服器。

威胁行为者使用中央面板查看设备及状态信息，并决定下一步该做什么。根据 Check Point 的分析，大约 10 的观察案例中，Rafel RAT 发出勒索命令。

Rafel RAT 的中央面板来源：Check Point

防范 Rafel RAT 的措施

为了防止 Rafel RAT，Android 用户应该：

Anas Hasan

2024 年 6 月 24 日

4 个月前

Anas Hassan 是一名科技爱好者和网络安全爱好者。他在数字转型行业拥有丰富的经验。当 Anas 不在写博客时，他会观看足球赛。