知名網絡安全公司Check Point Research(CPR)在最新的研究報告中指出，一種名為Rafel的開源遠程控制木馬(RAT)正被用于攻擊安卓設備，竊取數據、監(jiān)視用戶甚至鎖定手機，全球超過39億安卓設備面臨與該木馬相關的網絡間諜和勒索軟件攻擊。

報告指出，Rafel RAT功能強大，被多方惡意勢力用于間諜活動和秘密情報竊取。例如，臭名昭著的黑客組織APT-C-35/DoNot Team就利用了Rafel的遠程訪問、監(jiān)視、數據竊取和持久化等功能，對安卓設備發(fā)動攻擊。

DoNot Team一直以安卓設備為主要攻擊目標。2020年11月，該組織通過谷歌Firebase云消息傳遞服務傳播安卓惡意軟件。2021年10月，天網國際組織(Amnesty International)將針對多個活動人士的惡意軟件攻擊歸咎于該組織，并追蹤到攻擊使用的IP地址之一，將幕后黑手鎖定為印度網絡安全公司Innefu Labs。

在最新的RafelRAT攻擊中，CPR收集了多個惡意軟件樣本并追蹤到120個控制服務器。令人驚訝的是，三星手機成為受影響最嚴重的設備品牌，而美國、中國和印度則是此次攻擊的主要目標國家。報告指出：“大多數受害者使用的是三星手機，小米、vivo和華為用戶緊隨其后?！边@可能與這些品牌的市場份額較高有關，用戶基數龐大也讓它們成為攻擊者的主要目標。

報告還指出，超過87%的受害者使用的都是已經過時的安卓版本，這些系統(tǒng)不再能獲得安全更新，缺乏關鍵的安全補丁，更容易受到惡意軟件的侵害。其中，安卓11是受影響最嚴重的版本，其次是安卓8和安卓5。

正如即便在2014年停止更新后，Windows XP系統(tǒng)仍然飽受各種惡意軟件威脅一樣，安卓系統(tǒng)也面臨著類似的問題。

CPR在研究中發(fā)現了三種Rafel RAT的具體應用案例：

實施勒索軟件攻擊

泄露雙因素認證信息

在巴基斯坦政府網站上架設Rafel的控制服務器，顯示了此類威脅的普遍性

安全專家John Bambenek評論道：“本質上，手機惡意軟件通常偽裝成應用程序，誘騙用戶安裝。谷歌一直在努力確保這類應用無法進入Play商店，或者至少無法長時間存在。用戶千萬不要根據短信安裝應用程序。此外，定期更新手機系統(tǒng)也非常重要，確保您運行的是最新版本。”

CPR的研究強調了持續(xù)警惕和采取積極安全措施的重要性，以保護安卓設備免受惡意攻擊。同時，建議用戶始終從可信賴的來源（例如Google Play商店）安裝應用，避免安裝第三方來源的應用，并檢查應用程序的權限和評論，保障安卓手機的安全。

參考鏈接：

https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/

來源：GoUpSec