威胁攻击者正在大量部署一种名为「Rafel RAT」的开源恶意软件，攻击「过时」安卓设备。Check Point 安全研究人员 Antonis Terefos 和 Bohdan Melnykov 表示，共检测到超过 120 个使用 Rafel RAT 恶意软件的网络攻击活动。

据悉，Rafel RAT 恶意软件的攻击目标主要是政府和军事部门，大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35（DoNot Team）等知名勒索软件组织发起，伊朗和巴基斯坦疑似为恶意活动的源头。

Rafel RAT 恶意软件目标品牌和型号非常广泛，包括三星 Galaxy、谷歌 Pixel、小米红米、摩托罗拉 One 以及 OnePlus、vivo 和华为的设备。

Check Point 分析大量网络攻击活动后发现，受害者运行的安卓版本已达到生命周期终点（EoL），其中 87.5% 运行安卓 11 及以上版本，只有 12.5% 的受感染设备运行 Android 12 或 13。鉴于很多「过时」版本不再接受安全更新，因此容易受到已知/已发布漏洞的攻击。据此推测，有超过39亿台的安卓设备/手机（包括用户弃用）或被暴露在这一威胁之下。

捆绑 Rafel RAT 安装程序的虚假应用程序（来源：Check Point）

安装过程中，Rafel RAT 恶意软件会请求访问风险权限，包括免于电池优化，允许在后台运行。值得一提的是，Rafel RAT 恶意软件支持的命令因变种而异，但一般包括以下命令：

勒索软件：启动设备上的文件加密进程；

wipe：删除指定路径下的所有文件；

锁定屏幕：锁定设备屏幕，使设备无法使用；

sms_oku：向命令与控制 (C2) 服务器泄漏所有短信（和 2FA 代码）；

location_tracker：向 C2 服务器泄露实时设备位置。

Rafel RAT 恶意软件的行动由中央面板控制，威胁攻击者可在此访问设备和状态信息，并决定下一步攻击步骤。

Rafel RAT 面板上受感染设备概览（来源：Check Point ）

最常发布的命令（来源：Check Point ）

Rafel RAT 中的勒索软件模块旨在通过控制受害者的设备，并使用预定义的 AES 密钥加密他们的文件来执行勒索计划。

Rafel RAT 的加密方法（来源：Check Point ）

一旦获得了受害者设备的管理权限，Rafel RAT 勒索软件就能轻松控制设备的关键功能，例如更改锁屏密码和在屏幕上添加自定义信息（通常是赎金说明）。如果用户试图撤销管理权限，勒索软件就会立刻做出反应，更改密码并立即锁定屏幕。

针对权限撤销企图的反应机制（来源：Check Point ）

Check Point 的研究人员检测到了几起涉及 Rafel RAT 勒索软件攻击活动，其中包括一次来自伊朗的攻击，该攻击在运行加密模块之前使用了 Rafel RAT 的其他功能进行侦查。之后，威胁攻击者很快就清除了通话记录，更改壁纸以显示自定义信息，锁定屏幕，激活设备振动，并发送包含赎金说明的短信，敦促受害者在 Telegram 联系威胁攻击者。

最后，安全专家强调想要抵御 Rafel RAT 恶意软件攻击，请避免从可疑来源下载 APK，不要点击电子邮件或短信中嵌入的 URL，并在启动应用程序前使用 Play Protect 扫描。
参考资料：

https://www.bleepingcomputer.com/news/security/ratel-rat-targets-outdated-android-phones-in-ransomware-attacks/