引言
Android,谷歌最受欢迎的移动操作系统,在全球范围内为数十亿的智能手机和平板电脑提供动力。以其开源特性和灵活性而闻名,Android为用户提供了广泛的功能、定制选项,并通过Google Play商店和其他渠道提供了一个庞大的应用生态系统。
然而,随着其广泛采用和开放环境,Android也带来了恶意活动的风险。针对Android设备的恶意软件构成了对用户隐私、安全和数据完整性的重大威胁。这些恶意程序包括病毒、特洛伊木马、勒索软件、间谍软件和广告软件等多种形式,它们可以通过多种途径渗透设备,例如应用下载、恶意网站、网络钓鱼攻击甚至系统漏洞。
Android恶意软件的不断发展对用户、开发者和安全专家都带来了挑战。随着攻击者采用越来越复杂的技术来逃避检测和破坏设备,了解Android恶意软件的性质、其分发方法以及有效的预防和缓解策略变得至关重要。
Rafel RAT是一个在Android设备上隐蔽运行的开源恶意软件工具。它为恶意行为者提供了一个强大的远程管理和控制工具包,使他们能够进行从数据盗窃到设备操控等一系列恶意活动。
Rafel RAT
Check Point Research已经识别出多个威胁行为者使用Rafel,这是一个开源的远程管理工具(RAT)。发现一个间谍小组在其操作中利用Rafel尤其重要,因为这表明该工具在各种威胁行为者档案和操作目标中的有效性。
在之前的出版物中,我们确定了APT-C-35 / DoNot Team (印度组织)利用Rafel RAT。Rafel的特性和功能,如远程访问、监控、数据泄露和持久性机制,使其成为进行隐秘操作和渗透高价值目标的强大工具。
活动概览与受害者分析
我们观察到大约120个不同的恶意活动,其中一些成功地针对了包括军事部门在内的高知名度组织。尽管大多数目标受害者来自美国、中国和印度尼西亚,但攻击的地理范围相当广泛。
这些活动可以被视为高风险,因为受害者的手机通讯录被泄露可能会泄露有关其他联系人的敏感信息,并允许基于该数据在组织内进行横向移动。另一个值得关注的点是被盗的双因素认证消息,这可能导致多个账户被接管。
大多数受害者使用的是三星手机,小米、Vivo和华为用户构成了目标受害者中的第二大群体。这一结果与这些设备在各个市场的受欢迎程度相对应。
虽然某些品牌有更多感染设备,但涉及了广泛的型号。因此,我们根据它们的系列对型号进行了分类。我们的发现还突出显示,大多数受害者拥有的设备是Google设备(Pixel、Nexus)、三星Galaxy A和S系列以及小米Redmi系列。
值得注意的是,在受影响最严重的受害者中,Android版本的分布。Android 11是最常见的,其次是8和5版本。尽管Android版本多种多样,恶意软件通常可以跨所有版本运行。然而,操作系统的较新版本通常对恶意软件执行其功能或要求受害者采取更多行动提出了更多挑战。
我们在Windows机器人中不断观察到,尽管Windows XP版本在2014年就达到了生命周期结束,但感染数量仍然居高不下。我们在感染的Android设备中观察到了同样的情况。超过87%的受影响受害者正在运行不再受支持的Android版本,因此没有接收到安全补丁。
| Android版本 | 发布日期 | 最后的安全补丁(生命周期结束) |
|---|---|---|
| 4 | 2011年10月 | 2017年10月 |
| 5 | 2014年11月 | 2018年3月 |
| 6 | 2015年10月 | 2018年8月 |
| 7 | 2016年8月 | 2019年10月 |
| 8 | 2017年8月 | 2021年10月 |
| 9 | 2018年8月 | 2022年1月 |
| 10 | 2019年9月 | 2023年2月 |
| 11 | 2020年9月 | 2024年2月 |
| 12 | 2021年10月 | N/A |
| 13 | 2022年8月 | N/A |
图6 – 受害者的Android版本支持。
技术分析
这种恶意软件被开发用于参与网络钓鱼活动。它利用欺骗手段操纵用户信任并利用它们的互动。一旦启动,恶意软件会寻求必要的权限,也可能请求被添加到白名单。特别是当设备的制造商为应用优化提供额外服务时,这有助于确保其在系统中的持久性。
图7 – 打开相应活动以从优化中排除恶意软件的方法。
我们的调查揭露了使用这种特定恶意软件变体的众多网络钓鱼操作。恶意软件冒充多个广泛认可的应用,包括Instagram、WhatsApp、各种电子商务平台、反病毒程序以及众多服务的支持应用。
根据攻击者的修改,恶意软件可能请求通知或设备管理员权限,或隐蔽地寻求最小敏感权限(如短信、通话记录和联系人),以保持隐蔽。无论如何,恶意软件在激活后立即在后台开始其操作。它部署了一个背景服务,生成一个带有欺骗标签的通知,同时秘密运作。同时,它启动了一个内部服务来管理与命令和控制(C&C)服务器的通信。
内部服务启动与(C&C)服务器的通信,激活位置跟踪,并开始设置文本到语音组件。
通信通过HTTP(S)协议发生,从客户端服务器交互的初始阶段开始。这涉及传输有关设备的详细信息,包括其标识符、特征、地区、国家、型号规格和运营商详细信息。接下来,向C&C服务器发送请求以执行设备上的命令。
支持的命令范围及其名称可能因特定恶意软件变体而异。下表概述了原始恶意软件来源中发现的基本命令:
| 命令 | 描述 |
|---|---|
| rehber_oku | 将电话簿泄露到C&C |
| sms_oku | 将所有短信泄露到C&C |
| send_sms | 向提供的电话号码发送文本消息 |
| device_info | 发送设备信息(国家、运营商、型号、语言、电池、root状态、RAM数量) |
| location_tracker | 将实时位置泄露到C&C |
| arama_gecmisi | 将通话记录泄露到C&C |
| screen_message | 向受害者显示带有提供文本消息的toast(浮动消息) |
| wipe | 删除指定路径下的所有文件 |
| LockTheScreen | 锁定设备屏幕 |
| ransomware | 开始文件加密进程 |
| changewallpaper | 更改设备壁纸 |
| vibrate | 执行设备振动20秒 |
| deletecalls | 清除通话记录 |
| voice_message | 文本到语音命令,可以用不同语言播放来自攻击者的消息 |
| get_list_file | 将指定路径的目录树发送到C&C |
| upload_file_path | 将特定文件上传到C&C |
| application_list | 发送所有已安装应用的列表 |
除了主要通信渠道外,恶意软件最初能够通过Discord API发送快速消息。在注册过程中,它通知攻击者新受害者的出现。这使攻击者能够迅速响应并从被入侵的设备中提取所需数据。
此通信渠道还用于拦截设备通知。恶意软件扫描这些通知的内容并将其转发给攻击者。这使攻击者能够从其他应用程序中提取敏感数据,例如捕获通过消息平台发送的2FA代码。
在我们的分析过程中,我们遇到了攻击者使用的各种保护机制。这些从字符串加密和打包器使用到各种反逃避技术,旨在破坏自动化分析流程或使某些工具失效。
使用的一些逃避可以通过分析工具的新版本来缓解。
有关逃避技术的更多信息,请参阅我们的Check Point Research Evasion Encyclopedia。
C2
使用Rafel的威胁行为者获得一个PHP面板,该面板的运行无需传统的数据库设置,而是依赖于JSON文件进行存储和管理。在安装过程中,威胁行为者使用指定的用户名和密码来访问管理面板。通过这个界面,威胁行为者可以监控和控制被感染的移动设备。
登录到命令和控制界面后,威胁行为者可以访问有关被感染设备的重要信息,例如:
-
设备 – 手机型号 -
版本 – Android版本 -
国家 – 提供地理上下文,允许威胁行为者将他们的恶意活动或活动调整到特定地区或人群。 -
SIM运营商 – 与设备SIM卡相关联的移动网络运营商,这有助于追踪设备的位置。 -
电量 – 被感染设备当前的电量水平。 -
是否Root – 表明设备是否已Root,提供有关允许的访问级别的信息。
当威胁行为者在面板中查看机器人详细信息时,有关设备规格和可用命令的额外信息变得可访问。面板显示了以下提取的设备信息:
-
语言 – 指定配置在被感染设备上的语言设置。 -
RAM – 提供有关设备随机存取内存(RAM)容量的详细信息。这些信息可能表明设备是否为沙盒。
此外,面板还允许操作者访问一套可在被感染设备上远程执行的手机功能和命令。
GetContact命令使威胁行为者能够从受害者的设备中检索联系人详细信息,包括姓名和电话号码。这允许攻击者访问设备上存储的敏感个人信息,有助于身份盗窃、社交工程攻击或进一步利用受害者的联系人进行恶意目的。
图19 – 联系人列表。
威胁行为者可以使用GetSMS命令检索包含敏感信息的短信消息。我们观察到恶意行为者滥用此功能来获取双因素认证(2FA)详情。这构成了重大的安全风险,因为2FA代码通常用于保护账户和交易。
图20 – 短信列表。
Application命令提供了有关受害者设备上安装的应用程序的进一步信息。
图21 – 应用程序列表。
命令和控制面板的较新版本提供了扩展功能,如下所示。
我们对执行的机器人命令的分析提供了有价值的见解,了解了网络犯罪分子采用的战术、技术和程序(TTPs),并产生了可操作的情报。
深入分析活动
Check Point Research深入研究了Android感染的三个特定领域:
-
勒索软件操作 -
可能导致2FA绕过的双因素认证消息 -
黑客攻击巴基斯坦政府网站的威胁行为者
我们发现的案例突显了在Android生态系统中运营的个人和公司面临的严重危险。
勒索软件操作分析
在其基本迭代中,Rafel应用程序拥有执行勒索计划所需的所有必要功能。当恶意软件获得DeviceAdmin权限时,它可以更改锁屏密码。此外,利用设备管理功能有助于防止恶意软件的卸载。如果用户尝试撤销应用程序的管理权限,它立即更改密码并锁定屏幕,阻止任何干预尝试。
除了其锁定功能外,恶意软件还包含了使用AES加密进行文件加密的变体,使用预定义的密钥。或者,它可能从设备的存储中删除文件。
Check Point Research确定了使用Rafel RAT执行的勒索软件操作。可能来自伊朗的威胁行为者最初执行了典型的信息检索命令,例如:
-
device_info – 获取设备信息。 -
application_list – 获取设备应用程序列表。 -
arama_gecmisi – 获取通话记录。 -
rehber_oku – 获取联系人详情。 -
sms_oku – 获取短信消息。
此时,操作员根据获得的信息判断受害者是否具有间谍价值,然后开始勒索软件操作,使用这些命令:
-
deletecalls – 清除通话记录。 -
ransomware – 显示消息“Loda Pakistan”(受害者来自巴基斯坦)。 -
changewallpaper – 更改壁纸,并显示消息“loda Pakistan”。 -
LockTheScreen – 用消息“Loda Pakistan”锁定屏幕。 -
send_sms – 发送包含勒索信的短信。 -
vibrate – 震动以提醒受害者。
以短信消息形式的“勒索信”用阿拉伯文写成,并提供了一个Telegram频道以继续对话。
双因素认证(2FA)
我们的调查发现了许多2FA消息被盗的案例,这可能导致2FA被绕过。被泄露的2FA代码(OTP – 一次性密码)可以使恶意行为者绕过额外的安全措施,未经授权地访问敏感账户和信息。
针对政府基础设施的威胁行为者
在最近的一个案例中,我们发现了一个威胁行为者成功黑客攻击了巴基斯坦的一个政府网站。该行为者还在此服务器上安装了Rafel网络面板,我们观察到被感染的设备向这个C&C报告。
黑客@LoaderCrazy在Telegram频道@EgyptHackerTeam上发布了他的“成就”,用阿拉伯语留言“ما نخترقه نترك بصمتنا عليه”(英文:“我们侵入的地方都会留下我们的印记”)。
Rafel网络面板安装于2024年5月18日,尽管黑客攻击的痕迹可以追溯到2023年4月。
这个C&C上的Rafel受害者来自不同国家,包括美国、俄罗斯、中国和罗马尼亚。
结论
Rafel RAT是Android恶意软件不断发展的强有力例子,其特点是开源性质、广泛的功能集以及在各种非法活动中的广泛使用。Rafel RAT的普遍性突显了持续警惕和积极的安全措施的必要性,以保护Android设备免受恶意利用。由于网络犯罪分子继续利用Rafel RAT等技术和工具侵犯用户隐私、窃取敏感数据和进行金融欺诈,因此必须采取多层次的网络安全方法。有效的缓解策略应包括全面的威胁情报、强大的端点保护机制、用户教育计划以及网络安全生态系统内的各利益相关方的合作。
IOCs
| SHA256 |
|---|
| d1f2ed3e379cde7375a001f967ce145a5bba23ca668685ac96907ba8a0d29320 |
| 442fbbb66efd3c21ba1c333ce8be02bb7ad057528c72bf1eb1e07903482211a9 |
| 344d577a622f6f11c7e1213a3bd667a3aef638440191e8567214d39479e80821 |
| c94416790693fb364f204f6645eac8a5483011ac73dba0d6285138014fa29a63 |
| 9b718877da8630ba63083b3374896f67eccdb61f85e7d5671b83156ab182e4de |
| 5148ac15283b303357107ab4f4f17caf00d96291154ade7809202f9ab8746d0b |
| C2 |
|---|
| districtjudiciarycharsadda.gov[.]pk |
| kafila001.000webhostapp[.]com |
| uni2phish[.]ru |
| zetalinks[.]tech |
| ashrat.000webhostapp[.]com |
| bazfinc[.]xyz |
| discord-rat23.000webhostapp[.]com |
目前panel依然存活
各位能不能通过网页源码总结出特征来拓出更多的panel呢?
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1">
<title>Crazy</title>
<link href="./css/theme.css" rel="stylesheet">
<style>
.tall-row {
margin-top: 40px;
}
.modal {
position: relative;
top: auto;
right: auto;
left: auto;
bottom: auto;
z-index: 1;
display: block;
}
</style>
</head>
<body>
<nav class="navbar navbar-default navbar-static-top">
<div class="container-fluid">
<div class="row">
<div class="col-lg-4 col-lg-offset-4">
<a class="navbar-brand" href="index.php">Crazy Login Panel</a>
</div>
</div>
</div>
</nav>
<div class="container">
<br><br><br>
<div class="row">
<div class="col-md-8 col-lg-offset-2">
<div class="well">
<br><br>
<form class="form-horizontal" action="login.php" method="POST" autocomplete="off">
<fieldset>
<legend>Welcome Attacker</legend>
<div class="form-group">
<label for="inputUsername" class="col-lg-2 control-label">Username</label>
<div class="col-md-5 col-lg-offset-1">
<input class="form-control" id="inputUsername" name="inputUsername" placeholder="Username" type="text" required>
</div>
</div>
<div class="form-group">
<label for="inputPassword" class="col-lg-2 control-label">Password</label>
<div class="col-md-5 col-lg-offset-1">
<input class="form-control" id="inputPassword" name="inputPassword" placeholder="Password" type="password" required>
</div>
</div>
<br>
<div class="form-group">
<div class="col-md-5 col-lg-offset-5">
<button type="submit" class="btn btn-default">Login</button>
</div>
</div>
</fieldset>
</form>
<br><br>
</div>
</div>
</div>
<br><br>
<div class="row tall-row">
<div class="col-md-offset-8">
<p>Created by <a href="#">Crazy</a>. © 2024</p>
</div>
</div>
</div>
</body>
</html>
原文始发于微信公众号(3072):疑似针对中美军事组织的安卓远控木马
