Android-Malware Rafel RAT: Tool für Spionage, Fernzugriff & Datenklau

Check Point Software Technologies GmbH Check Point Software Technologies GmbH   |
  • Malware
Android-Malware

Android-Malware Rafel RAT: Tool für Spionage, Fernzugriff, Datenklau und Ransomware-Infektionen

Check Point Research (CPR) hat die weitreichende Nutzung von Rafel, einem Open-Source-Remote-Administrationstool (RAT), durch verschiedene Bedrohungsakteure aufgedeckt. Die Malware zielt auf Smartphones, die unter Android laufen – entsprechend lang ist die Liste potenzieller Opfer, denn derzeit gibt es rund 3,9 Milliarden aktive Android-Nutzer in 190 Ländern.

Android-Malware Rafel RAT: Smartphones von Samsung, Xiaomi, Vivo und Huawei betroffen

CPR sammelte mehrere Malware-Samples von besagtem Android-RAT und zählte etwa 120 Command-and-Control-Server. Bei der Analyse stellte CPR fest, dass die USA, China und Indonesien die am stärksten betroffenen Länder waren. In Europa trafen die meisten Angriffe Geräte in Frankreich und Italien, dahinter stehen Deutschland, Tschechien und Russland als meistbetroffene Länder.

Die meisten Opfer besaßen Samsung-Telefone, während Nutzer von Xiaomi, Vivo und Huawei die zweitgrößte Gruppe unter den betroffenen Opfern bildeten. Das Ergebnis entspricht der Marktanteile und Beliebtheit der entsprechenden Geräte in den jeweiligen Märkten und Ländern.

Die Entdeckung einer Spionagegruppe, die Rafel für ihre Operationen nutzt, zeigt die Wirksamkeit des Tools für verschiedene Bedrohungsprofile und operative Ziele auf. In einem früheren Forschungsbericht stellte CPR fest, dass APT-C-35 / DoNot Team Rafel RAT einsetzt. Die Funktionen und Fähigkeiten von Rafel, wie etwa Fernzugriff, Überwachung, Datenexfiltration und Persistenzmechanismen, machen es zu einem wirksamen Werkzeug für die Durchführung verdeckter Operationen und die Infiltrierung hochkarätiger Ziele.

Ransomware-Operationen, 2FA-Umgehung und State Hacking

CPR hat drei spezifische Fälle eingehend analysiert. Der erste war eine Android-Ransomware-Operation, bei der der Bedrohungsakteur die Dateien des Geräts verschlüsselte. Der zweite Fall waren durchgesickerte Zwei-Faktor-Authentifizierungsnachrichten (2FA), die möglicherweise zur Umgehung von 2FA führen könnten, und der letzte Fall war ein Bedrohungsakteur, der Rafel Command and Control auf einer gehackten Regierungswebseite installierte und Geräte infizierte, die sich dort anmeldeten.

Brisant ist außerdem die Verteilung der Android-Versionen unter den am meisten betroffenen Opfern. Trotz der Vielfalt der Android-Versionen kann Malware in der Regel mit allen Versionen arbeiten. Neuere Versionen des Betriebssystems stellen die Malware jedoch in der Regel vor größere Herausforderungen bei der Ausführung ihrer Funktionen.

Android-Malware
Von Rafel RAT betroffene Android-Versionen (Quelle: Check Point 2024)

Ein weiteres nennenswertes Ergebnis ist, dass vor allem ältere Systeme angegriffen werden. Mehr als 87 Prozent der betroffenen Opfer verwenden Android-Versionen, die nicht mehr unterstützt werden und folglich keine Sicherheitsupdates erhalten.

Rafel RAT ist ein aussagekräftiges Beispiel für die sich entwickelnde Landschaft von Android-Malware, die sich durch ihren Open-Source-Charakter, ihren umfangreichen Funktionsumfang und ihre weit verbreitete Nutzung für verschiedene illegale Aktivitäten auszeichnet.

Check Point empfiehlt Android-Nutzern folgende Schutzmaßnahmen

  • Apps aus vertrauenswürdigen Quellen installieren: Apps nur aus seriösen Quellen wie dem Google Play Store herunterladen. Vermeidung von App-Stores von Drittanbietern und Vorsicht bei Apps, die nur wenige Downloads oder schlechte Bewertungen haben. Außerdem sollten vor der Installation immer die App-Berechtigungen und Bewertungen geprüft werden.
  • Software auf aktuellem Stand halten: Regelmäßige Aktualisierung des Android-Betriebssystems und von Apps. Die Updates enthalten oft Sicherheitspatches, die vor neu entdeckten Sicherheitslücken schützen.
  • Verwendung einer zuverlässigen App für mobile Sicherheit: Installation einer seriösen App für mobile Sicherheit, die Echtzeitschutz vor Malware bietet. Diese Apps können nach bösartiger Software suchen, verdächtige Aktivitäten erkennen und bieten zusätzliche Sicherheitsfunktionen wie Diebstahlschutz und sicheres Surfen.

Die Entdeckung von Rafel RAT zeigt, wie vielseitig und gefährlich Android-Malware sein kann und unterstreicht die Notwendigkeit ständiger Wachsamkeit und proaktiver Sicherheitsmaßnahmen. Android-Nutzer, die die oben aufgeführten Schritte befolgen, können ihr Risiko, von Malware infiziert zu werden, erheblich reduzieren und die Sicherheit ihres Geräts erhöhen.

Weitere Informationen finden Sie im Blog.

Zurück zu allen News

Weitere Inhalte zum Thema

Nichts mehr verpassen?

Newsletter IT-Sicherheit
ifis-logo
Master-internet-sicherheit Logo
Institut für Internet-Sicherheit – if(is)
Schreib uns:
[email protected]
Ruf uns an:
+49 (0) 241 / 53809288
Gib uns Feedback:
[email protected]

INFORMATION

MITMACHEN

Logo Glossar Cyber-Sicherheit
Facebook Twitter Youtube Linkedin

© 2022 - 2024 Marktplatz IT-Sicherheit. Alle Rechte vorbehalten

Marktplatz IT-Sicherheit Skip to content