Rafel RAT: Mối đe dọa cho hệ thống Android.

Bảo mật di động đang phải đối mặt với một thách thức lớn dưới dạng phần mềm độc hại (Malware Android). Hãy tưởng tượng một chiếc điện thoại thông minh, một phần thiết yếu của cuộc sống hàng ngày, trở thành công cụ cho tội phạm mạng.

Những kẻ tấn công bị thu hút không thể cưỡng lại vào Android do có hơn ba tỷ người dùng trên toàn cầu con số này vượt xa lượng người dùng iOS (chỉ hơn một tỷ), nhiều tùy chọn tùy chỉnh và lỗi trong quy trình cập nhật và bảo mật của Android. Nó mang đến nhiều cơ hội và nhiều lỗ hổng để khai thác cho các cuộc tấn công mạng. Với nguy cơ và rủi ro cao như vậy, việc hiểu được được các mối đe dọa này để đưa ra các phương án phòng chống thích là rất cần thiết.

Mặc dù Android cung cấp nhiều tùy chọn tùy chỉnh hơn iOS, nhưng đây có thể là con dao hai lưỡi. Các lỗ hổng bảo mật không chủ ý, chẳng hạn như các tính năng chưa được kiểm tra hoặc cơ chế xác minh không hoạt động, có thể làm tăng đáng kể rủi ro. Ví dụ, cho phép các ứng dụng chạy từ các nguồn chưa được xác minh hoặc cấp quyền tự động mà không cần người dùng nhập liệu sẽ làm tăng khả năng người dùng bị nhiễm phần mềm độc hại.

Không giống như iOS, hệ thống Android gặp phải các bản cập nhật và bản sửa lỗi bảo mật không nhất quán do các vấn đề cụ thể của nhà sản xuất như chu kỳ vá lỗi bị trì hoãn hoặc phân mảnh. Những sự không nhất quán này có thể khiến các lỗ hổng không được giải quyết trên nhiều thiết bị Android khác nhau. Do đó, hệ điều hành Android đã trở thành mục tiêu cho các cuộc tấn công bao gồm cả những cuộc tấn công được phát động với sự hỗ trợ của Trojan truy cập từ xa (RAT) như Rafel RAT.

Rafel RAT: Mối đe dọa thầm lặng đối với các thiết bị Android

Rafel RAT là một phần mềm độc hại Android có mã nguồn mở và khả năng ngụy trang thành một ứng dụng BlackMart thông thường. BlackMart, còn được gọi là BlackMart Alpha, là một thị trường ứng dụng nơi người dùng có thể tải xuống các ứng dụng Android. Các ứng dụng có sẵn thường là các phiên bản miễn phí, vi phạm bản quyền của các sản phẩm thương mại được tìm thấy trên Cửa hàng Google Play được nhúng phần mềm độc hại. Một kho lưu trữ GitHub đang hoạt động có mã nguồn và các thành phần cần thiết để xây dựng Rafel RAT và phát động một cuộc tấn công.

Rafel RAT nhắm vào các hệ điều hành Android lỗi thời, cụ thể là điện thoại di động và máy tính bảng, khiến nó trở thành công cụ tiện lợi và mạnh mẽ cho các của tấn công. Check Point Software phát hiện ra rằng các mục tiêu phổ biến là các thiết bị chạy Android phiên bản 11, 5 và 8. Mặc dù điều này có nghĩa là các thiết bị cũ hơn Android 11 dễ bị nhiễm Rafel RAT nhất, nhưng các thiết bị có phiên bản hệ điều hành mới hơn cũng có thể dễ bị tấn công này. Người dùng không cập nhật phần mềm/Firmware hoặc chậm trễ trong việc triển khai các bản sửa lỗi bảo mật là hai nguyên nhân có thể khiến thiết bị trở nên dễ bị tấn công.

Phần mềm độc hại dưới dạng dịch vụ (MAAS) là mô hình đăng ký cho phép các tổ chức tội phạm mua phần mềm độc hại từ nhiều thị trường khác nhau và sử dụng. Mặc dù Rafel RAT không nằm trong mô hình MAAS do bản chất mã nguồn mở của nó, nhưng điều đó có thể thay đổi theo thời gian khi thiết kế và cách sử dụng của nó phát triển.

Quy trình lây nhiễm:

Hình minh họa bên dưới thể hiện các bước liên quan để đưa Rafel RAT vào hệ thống của nạn nhân. Chiến dịch lừa đảo là một phương pháp để bắt đầu bước đầu tiên trong quá trình tải Rafel RAT xuống thiết bị mục tiêu. Khi người dùng nhấp vào đối tượng hoặc liên kết độc hại trong email, quá trình tải xuống sẽ diễn ra và sau đó là quá trình cài đặt. Cần lưu ý rằng thiết bị Android không cần phải được root để quá trình tải xuống và cài đặt diễn ra.

Sau khi Rafel RAT hoàn tất cài đặt, nó sẽ kích hoạt một quy trình để yêu cầu cấp quyền, một lời nhắc có thể xuất hiện để người dùng chấp nhận quyền để bật thông báo và cho phép truy cập vào một số cài đặt và ứng dụng. Sau khi người dùng nhấn cho phép trên lời nhắc để cấp quyền, kẻ tấn công đã nâng cao quyền để truy cập vào các dịch vụ Android sau: Hệ thống và Lưu trữ, Camera và Micrô, Danh bạ, Cuộc gọi và Tin nhắn.

Sau khi được trao quyền truy cập vào các dịch vụ này, kẻ xấu có thể đánh cắp thông tin thiết bị, danh bạ và tài khoản như thông tin đăng nhập và kiểm soát thiết bị bao gồm khả năng khóa thiết bị và đặt mã PIN mới. Điều quan trọng cần lưu ý là trong khi cuộc tấn công Rafel RAT có thể làm gián đoạn khả năng khởi động và dừng các ứng dụng hoặc quy trình của người dùng và có thể dẫn đến mất dữ liệu do kẻ tấn công xóa tệp có chủ đích, thì việc mất hoàn toàn chức năng của thiết bị không phải là kết quả liên quan đến cuộc tấn công này.

Sau bước thứ ba trong quy trình, kẻ tấn công có hai lựa chọn. Họ có thể tiến hành theo phương án 4A: Triển khai Ransomware hoặc lựa chọn phổ biến hơn là 4B: Thiết lập tuyến đường bổ sung cùng với máy chủ C&C để tiếp tục đánh cắp dữ liệu và chặn mã xác thực.

Khả năng cơ bản: Khi xem xét thiết kế của phần mềm độc hại, phần mềm độc hại Android lý tưởng sẽ hoạt động theo cách giống như các loại phần mềm độc hại khác. Rafel RAT có quyền truy cập vào hệ thống, thay đổi cài đặt của hệ thống, thiết lập kết nối với mạng của kẻ tấn công và đánh cắp dữ liệu và các nguyên khác mà nó thu thập được trong quá trình này.

Khả năng nâng cao: Bảng dưới đây định nghĩa các điểm nổi trội của Rafel RAT giúp phân biệt nó với các Trojan Android phổ biến khác.

Chức năng Ransomware:

Điều quan trọng cần lưu ý là khi bảng điều khiển Ransomware của Rafel RAT kết hợp khả năng khởi chạy một cuộc tấn công ransomware, thì bản thân Rafel RAT chỉ là phương tiện để cung cấp vũ khí. Rafel RAT là phần mềm độc hại được thiết kế chủ yếu để theo dõi nạn nhân, đánh cắp dữ liệu và thông tin liên lạc.

Khả năng chống phân tích:

Rafel RAT không sử dụng các kỹ thuật đóng gói hoặc làm tối nghĩa để che giấu các thuộc tính độc hại của nó. Tuy nhiên, Rafel RAT có các thuộc tính phát hiện mô phỏng, sẽ thúc đẩy nó phá vỡ hoặc dừng các quy trình độc hại trong trường hợp phát hiện ra môi trường phân tích hoặc thử nghiệm. Do đó, các nhà nghiên cứu phải thực hiện thẩm định cần thiết khi lựa chọn các phương pháp để phân tích các mẫu Rafel RAT và bỏ qua phát hiện mô phỏng.

Kết luận và khuyến nghị:

Rafel RAT gây ra mối đe dọa lớn đối với người dùng Android, đặc biệt là những người có thiết bị sử dụng phiên bản cũ hơn Android 11. Do đó, người dùng phải thận trọng khi truy cập vào các liên kết và ứng dụng không xác định hoặc đáng ngờ. Họ nên cập nhật thông tin để xác định các dấu hiệu nhiễm phần mềm độc hại và hiểu các biện pháp tốt nhất để duy trì vệ sinh mạng tốt.

Thiết bị Android có thể bị nhiễm khi có những thay đổi sau:

  • Hạn chế đột ngột (ảnh hưởng đến việc sử dụng điện thoại, ứng dụng hoặc thay đổi quyền).
  • Dung lượng pin thay đổi thất thường.
  • Tự động khóa màn hình.
  • Hiệu suất thiết bị chậm lại.
  • Xuất hiện ứng dụng và dịch vụ mới.
  • Thiếu tệp hoặc thư mục.

Phòng chống mối đe dọa di động (Mobile Threat Defense:): Mục đích của Phòng chống mối đe dọa di động là bảo vệ thiết bị di động khỏi các mối đe dọa và tấn công mạng, từ đó bảo vệ dữ liệu nhạy cảm và duy trì quyền riêng tư của người dùng. Đây là giải pháp duy nhất chịu trách nhiệm loại bỏ các mối đe dọa trên mạng.

Source: https://www.bitdefender.com/blog/businessinsights/rafel-rat-a-pest-invading-droid-systems/

Hiện tại Tech Horizon là nhà phân phối chính thức của BITDEFENDER tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội:Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6047 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

Uy Tran/ Tech Horizon

Tags: , ,

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.