知名网络安全公司Check Point Research(CPR)在最新的研究报告中指出，一种名为Rafel的开源远程控制木马(RAT)正被用于攻击安卓设备，窃取数据、监视用户甚至锁定手机，全球超过39亿安卓设备面临与该木马相关的网络间谍和勒索软件攻击。

报告指出，Rafel RAT功能强大，被多方恶意势力用于间谍活动和秘密情报窃取。例如，臭名昭著的黑客组织APT-C-35/DoNot Team就利用了Rafel的远程访问、监视、数据窃取和持久化等功能，对安卓设备发动攻击。

DoNot Team一直以安卓设备为主要攻击目标。2020年11月，该组织通过谷歌Firebase云消息传递服务传播安卓恶意软件。2021年10月，天网国际组织(Amnesty International)将针对多个活动人士的恶意软件攻击归咎于该组织，并追踪到攻击使用的IP地址之一，将幕后黑手锁定为印度网络安全公司Innefu Labs。

在最新的RafelRAT攻击中，CPR收集了多个恶意软件样本并追踪到120个控制服务器。令人惊讶的是，三星手机成为受影响最严重的设备品牌，而美国、中国和印度则是此次攻击的主要目标国家。报告指出：“大多数受害者使用的是三星手机，小米、vivo和华为用户紧随其后。”这可能与这些品牌的市场份额较高有关，用户基数庞大也让它们成为攻击者的主要目标。

报告还指出，超过87%的受害者使用的都是已经过时的安卓版本，这些系统不再能获得安全更新，缺乏关键的安全补丁，更容易受到恶意软件的侵害。其中，安卓11是受影响最严重的版本，其次是安卓8和安卓5。

正如即便在2014年停止更新后，Windows XP系统仍然饱受各种恶意软件威胁一样，安卓系统也面临着类似的问题。

CPR在研究中发现了三种Rafel RAT的具体应用案例：

实施勒索软件攻击

泄露双因素认证信息

在巴基斯坦政府网站上架设Rafel的控制服务器，显示了此类威胁的普遍性

安全专家John Bambenek评论道：“本质上，手机恶意软件通常伪装成应用程序，诱骗用户安装。谷歌一直在努力确保这类应用无法进入Play商店，或者至少无法长时间存在。用户千万不要根据短信安装应用程序。此外，定期更新手机系统也非常重要，确保您运行的是最新版本。”

CPR的研究强调了持续警惕和采取积极安全措施的重要性，以保护安卓设备免受恶意攻击。同时，建议用户始终从可信赖的来源（例如Google Play商店）安装应用，避免安装第三方来源的应用，并检查应用程序的权限和评论，保障安卓手机的安全。

参考链接：

https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/

文章来源：GoUpSec

点击下方卡片关注我们，

带你一起读懂网络安全 ↓