Kibernoziedznieki ir sākuši uzbrukt vecākām Android ierīcēm ar atklātā pirmkoda kaitīgo programmu Ratel RAT. Faktiski, tā ir Android izspiedējprogramma, kas šifrē vai dzēš datus, bloķē ierīci un pieprasa samaksu caur Telegram.
Check Point pētnieki ziņo, ka ir identificējuši vairāk nekā 120 kampaņas, kurās izmantota Ratel RAT. Uzbrukumus veic APT-C-35 (DoNot Team) no Irānas un Pakistānas. Uzbrucēji mērķē augsta līmeņa organizācijas, īpaši valdības un militārā sektora iestādes, ar lielāko daļu upuru no ASV, Ķīnas un Indonēzijas.
Vairākumā Check Point pārbaudīto gadījumu upuri izmantoja Android versijas, kuras vairs nesaņem drošības atjauninājumus. Tas attiecas uz Android 11 un vecākām versijām, kas veido vairāk nekā 87,5% no kopējā inficēto ierīču skaita. Tikai 12,5% inficēto ierīču darbojas ar Android 12 vai 13. Upuri ir dažādu zīmolu viedtālruņu lietotāji, ieskaitot Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, kā arī OnePlus, Vivo un Huawei ierīces. Tas pierāda, ka Ratel RAT ir efektīvs uzbrukumu rīks dažādām Android versijām.
Ratel RAT izplatās dažādos veidos. Parasti kibernoziedznieki izmanto Instagram, WhatsApp, e-komercijas platformas un antivīrusu lietotnes, lai apmānītu cilvēkus lejupielādēt kaitīgus APK failus. Instalācijas laikā izspiedējprogramma pieprasa piekļūt riskantiem atļaujām, lai darbotos fonā.
Ratel RAT ir vairāki varianti, kas atšķiras ar atbalstīto komandu sarakstu. Parasti tie veic šādas darbības:
- izspiedējprogrammas: sāk failu šifrēšanas procesu ierīcē.
- dzēšana: dzēš visus failus norādītajā ceļā.
- LockTheScreen: bloķē ierīces ekrānu, padarot ierīci neizmantojamu.
- sms_oku: noplūdina visas SMS (un 2FA kodus) uz kontrolserveri (C2).
- location_tracker: nosūta ierīces pašreizējo atrašanās vietu uz C2 serveri.
Darbības kontrolē centrālā panelī, kur ļaundari var piekļūt informācijai par ierīci un tās statusu, kā arī pieņemt lēmumus par nākamajiem uzbrukuma soļiem.
Saskaņā ar Check Point analīzi, aptuveni 10% gadījumu tika izdota komanda izmantot izspiedējprogrammu. Tādā gadījumā upura viedtālrunī faili tiek šifrēti, izmantojot iepriekš noteiktu AES atslēgu, un ļaundari pieprasa izpirkumu.
Pēc DeviceAdmin tiesību iegūšanas, izspiedējprogramma kontrolē būtiskas ierīces funkcijas, piemēram, iespēju mainīt ekrāna bloķēšanas paroli un pievienot īpašu ziņojumu, parasti izpirkuma ziņojumu. Ja lietotājs mēģina atsaukt administratora tiesības, izspiedējprogramma var reaģēt, mainot paroli un nekavējoties bloķējot ekrānu.
Check Point pētnieki novērojuši vairākas izspiedējprogrammu operācijas ar Ratel RAT, ieskaitot uzbrukumu no Irānas. Programma veica izlūkošanu, izmantojot citas Ratel RAT funkcijas, pēc tam tika aktivizēts šifrēšanas modulis. Uzbrucējs izdzēsa zvanu vēsturi, mainīja tapeti, lai rādītu īpašu ziņojumu, bloķēja ekrānu, iedarbināja ierīces vibrācijas funkciju un nosūtīja SMS ar izpirkuma pieprasījumu. Ziņojumā upuri aicina sazināties ar viņiem Telegram, lai "atrisinātu šo problēmu".
Lai aizsargātos no Ratel RAT uzbrukumiem, ir svarīgi izvairīties no APK lejupielādes no apšaubāmiem avotiem, neklikšķināt uz URL adresēm e-pastos vai SMS un pirms lietotņu palaišanas tās skenēt ar Play Protect.
Avots: bleepingcomputer
```
Komentāri (0)
Šobrīd nav neviena komentāra