Le RAT Rafel, un malware Android qui passe de l’espionnage aux opérations de ransomware
juin 2024 par check point
Check Point Research (CPR) a recensé plusieurs campagnes qui exploitent Rafel, un outil d’administration à distance (RAT) open-source, contre les téléphones Android, utilisés par plus de 3,9 milliards de personnes à travers le monde. L’équipe d’analyste Check Point a découvert que ce malware Android était utilisé dans le cadre d’opérations d’espionnage (surveillance à distance, exfiltration de données) et de ransomware.
Les acteurs malveillants incitent la victime (par le biais de messages/conversations, etc.) à télécharger des applications qui se font passer pour des services courants (réseaux sociaux, services financiers, services éducatifs et autres). Une fois les applications installées, le malware est injecté dans le téléphone portable et active différents types de capacités qui vont de l’espionnage aux ransomwares. L’équipe CPR a observé plus de 120 campagnes actives depuis deux ans et touchant plusieurs pays du monde. Ces campagnes contournent plusieurs procédures de sécurité conçues initialement pour protéger les utilisateurs de téléphones portables contre les cybercriminels.
Les appareils Android compromis dans le cadre de ces campagnes se trouvent principalement aux États-Unis, en Chine, en Indonésie, en Russie, en Inde, en France, en Allemagne et au Royaume-Uni.
Voici les principales conclusions du rapport Check Point CPR disponible depuis le blog public :
● Impact généralisé : le RAT Rafel qui est utilisé dans plus de 120 campagnes, concerne essentiellement des utilisateurs aux Etats-Unis, en Chine , en Europe et en Indonésie.
● Infections des appareils : la majorité des appareils compromis sont des téléphones Samsung, Xiaomi, Vivo et Huawei, preuve de la prédominance de ces marques sur le marché.
● Versions d’Android : la plupart des appareils concernés sont équipés de versions Android non actualisées, d’où l’importance d’effectuer régulièrement des mises à jour et d’appliquer des correctifs de sécurité.
● Menaces diverses : qu’il s’agisse d’espionnage ou de ransomware, les capacités du RAT Rafel concernent l’accès à distance, la surveillance, le vol de données et même le chiffrement des fichiers des victimes.
● Quelques cas à souligner :
o Compromission d’un site internet gouvernemental : Check Point a découvert que le RAT Rafel était hébergé sur un site internet du gouvernement pakistanais qui avait été piraté. Les appareils infectés étaient redirigés vers ce serveur pour qu’ils s’y connectent.
o Opérations de ransomware : dans certains cas, le RAT Rafel a été utilisé pour chiffrer les fichiers d’un dispositif et pour demander une rançon pour qu’ils soient déchiffrés.
o Contournement de 2FA : le malware a également été impliqué dans le vol de messages d’authentification à deux facteurs, lui permettant ainsi de contourner cette mesure de sécurité cruciale.
Recommandations de sécurité destinées aux utilisateurs d’Android :
● Téléchargez des applications qui viennent de sources fiables : n’installez que des applications proposées par des magasins réputés tels que Google Play. Évitez les fournisseurs tiers.
● Actualisez régulièrement vos logiciels : grâce aux mises à jour régulières, vous vous assurez que vos dispositifs reçoivent les correctifs de sécurité nécessaires.
● Faites appel à des solutions de sécurité mobile : les applications de sécurité fiables offrent une protection en temps réel contre les malwares et autres menaces.
Fonctionnement :
● Le RAT Rafel intervient dans des campagnes de phishing où les victimes sont incitées à installer des APK malveillants dissimulés sous un faux nom et une fausse icône. Ces applications demandent des autorisations étendues, affichent des sites internet légitimes qu’elles imitent, puis surveillent secrètement le dispositif et exfiltrent des données.
● le RAT Rafel peut se faire passer pour les applications suivantes :
● des Apps store (Google Store, BlackMart, BlackMart-MOD)
● des réseaux sociaux (La Morocha, Instagram, BOOYAH, Black WhatsApp)
● Finance (PicPay, RM Trade, Mercado Pago)
● Cartes & Navigation (PlamThaiDriver)
● Lifestyle (EHSAN)
● Education (DASNHS)
● Outils (MOTU CC CHECKER, Goxome : Modern Menu System)
● Outils de piratage (Reverse Engineering Toolkit, Unlimited Bomber)
● Autres (ScammersExposed, UR RAT, Lite App, BEKU-DANA)
Selon Alexander Chailytko, responsable de la cybersécurité, de la recherche et de l’innovation chez Check Point Software Technologies :
« Le RAT Rafel rappelle une fois de plus que la technologie des malwares open-source peut faire des dégâts considérables, surtout quand elle cible de grands écosystèmes comme Android qui compte plus de 3,9 milliards d’utilisateurs dans le monde. La version Android de la plupart des victimes concernées n’est pas prise en charge. Il est donc primordial de maintenir vos appareils à jour avec les correctifs de sécurité les plus récents ou de les remplacer s’ils ne les reçoivent plus. Les grands acteurs de la menace et même les groupes APT recherchent constamment des moyens d’optimiser leurs opérations, notamment avec des outils faciles d’accès tels que le RAT Rafel. Ce dernier peut exfiltrer des données sensibles à l’aide des codes d’authentification à deux facteurs volés, lancer des missions de surveillance et des opérations secrètes qui font des ravages lorsqu’elles sont utilisées contre des cibles de choix. »