Die Sicherheitsforscher von Check Point Research (CPR) haben die breit angelegte Nutzung von Rafel, einem Open-Source-Remote-Administrationstool (RAT), durch verschiedene Bedrohungsakteure aufgedeckt. Die Malware ziele auf Smartphones ab, die unter Android laufen. Entsprechend lang sei die Liste potenzieller Opfer, so Check Point, denn derzeit gebe es rund 3,9 Milliarden aktive Android-Nutzer in 190 Ländern.
CPR sammelte den Infos zufolge mehrere Malware-Samples von besagtem Android-RAT und zählte etwa 120 Command-and-Control-Server. Bei der Analyse habe man festgestellt, dass die USA, China und Indonesien die am stärksten betroffenen Länder waren. In Europa trafen die meisten Angriffe Geräte in Frankreich und Italien, dahinter stehen Deutschland, Tschechien und Russland als meistbetroffene Länder.
Die meisten Opfer besassen laut Checkpoint Samsung-Telefone, während Nutzer von Xiaomi, Vivo und Huawei die zweitgrösste Gruppe unter den betroffenen Opfern bildeten. Das Ergebnis entspreche den Marktanteilen und Beliebtheit der entsprechenden Geräte in den jeweiligen Märkten und Ländern, betont CPR.
Die Entdeckung einer Spionagegruppe, die Rafel für ihre Operationen nutze, zeige die Wirksamkeit des Tools für verschiedene Bedrohungsprofile und operative Ziele auf. In einem früheren Forschungsbericht stellte CPR demnach fest, dass APT-C-35 / DoNot Team Rafel RAT einsetzt. Die Funktionen und Fähigkeiten von Rafel, wie z. B. Fernzugriff, Überwachung, Datenexfiltration und Persistenzmechanismen, machten es zu einem wirksamen Werkzeug für die Durchführung verdeckter Operationen und die Infiltrierung hochkarätiger Ziele.
CPR hat den Angaben zufolge drei spezifische Fälle eingehend analysiert. Der erste sei eine Android-Ransomware-Operation gewesen, bei der der Bedrohungsakteur die Dateien des Geräts verschlüsselte. Der zweite Fall waren demnach durchgesickerte Zwei-Faktor-Authentifizierungsnachrichten (2FA), die möglicherweise zur Umgehung von 2FA führen könnten, und beim letzten Fall habe es sich um ein Bedrohungsakteur gehandelt, der Rafel Command and Control auf einer gehackten Regierungswebseite installiert und Geräte infiziert habe, die sich dort anmeldeten.
Brisant sei ausserdem die Verteilung der Android-Versionen unter den am meisten betroffenen Opfern. Trotz der Vielfalt der Android-Versionen könne die Malware in der Regel mit allen Versionen arbeiten. Neuere Versionen des Betriebssystems stellten die Malware jedoch in der Regel vor grössere Herausforderungen bei der Ausführung ihrer Funktionen. Ein weiteres nennenswertes Ergebnis sei, dass vor allem ältere Systeme angegriffen würden. Mehr als 87 Prozent der betroffenen Opfer verwendeten demnach Android-Versionen, die nicht mehr unterstützt werden und folglich keine Sicherheitsupdates erhalten.
Rafel RAT ist nach Ansicht der Security-Experten ein aussagekräftiges Beispiel für die sich entwickelnde Landschaft von Android-Malware, die sich durch ihren Open-Source-Charakter, ihren umfangreichen Funktionsumfang und ihre weit verbreitete Nutzung für verschiedene illegale Aktivitäten auszeichnet.
Check Point empfiehlt Android-Nutzern folgende Schutzmassnahmen:
- Apps aus vertrauenswürdigen Quellen installieren: Apps nur aus seriösen Quellen wie dem Google Play Store herunterladen. Vermeidung von App-Stores von Drittanbietern und Vorsicht bei Apps, die nur wenige Downloads oder schlechte Bewertungen haben. Ausserdem sollten vor der Installation immer die App-Berechtigungen und Bewertungen geprüft werden.
- Software auf aktuellem Stand halten: Regelmässige Aktualisierung des Android-Betriebssystems und von Apps. Die Updates enthalten oft Sicherheitspatches, die vor neu entdeckten Sicherheitslücken schützen.
- Verwendung einer zuverlässigen App für mobile Sicherheit: Installation einer seriösen App für mobile Sicherheit, die Echtzeitschutz vor Malware bietet. Diese Apps können nach bösartiger Software suchen, verdächtige Aktivitäten erkennen und bieten zusätzliche Sicherheitsfunktionen wie Diebstahlschutz und sicheres Surfen.