08/11/2024
Advarsel: Rafel RAT udgør en alvorlig trussel mod Android-brugere
Har du for nylig opdateret softwaren på din Samsung, Pixel eller Xiaomi-telefon? Hvis ikke, er det måske tid til at overveje det. Et nyt netop udgivet studie fra cybersikkerhedsfirmaet Check Point advarer om den betydelige risiko, du løber, og opfordrer indtrængende til at opdatere din enhed. Teamet har i de seneste to år sporet den berygtede Rafel RAT på tværs af USA, Storbritannien, Kina, Indonesien, Rusland, Indien, Frankrig og Tyskland. De har opdaget hele 120 farlige kampagner, hvilket tjener som en skarp påmindelse om, "hvordan open source malware-teknologi kan forårsage betydelig skade, især når den retter sig mod store økosystemer som Android, med over 3,9 milliarder brugere på verdensplan." Denne specifikke RAT er særligt lumsk – absolut ikke noget, du ønsker på din telefon, da den kan gennemgå alle dine personlige data og sende dem til sine bagmænd uden din viden, før det er for sent.
Check Point's undersøgelse fremhæver, at de fleste ofre havde enheder fra Google (Pixel, Nexus), Samsung Galaxy A & S-serien og Xiaomi Redmi-serien. Dog er mange andre enheder også blevet ramt. Alexander Chailytko fra Check Point understreger vigtigheden af at holde sine enheder opdateret med de seneste sikkerhedsrettelser eller at udskifte dem, hvis de ikke længere modtager dem. Han udtaler, at "fremtrædende trusselsaktører og endda APT-grupper (Advanced Persistent Threat) altid leder efter måder at udnytte deres operationer på, især med let tilgængelige værktøjer som Rafel RAT, hvilket kan føre til kritisk dataeksfiltrering, lækkede to-faktor-godkendelseskoder, overvågningsforsøg og skjulte operationer."
Hvordan Rafel RAT inficerer din telefon
Rafel udnytter primært installationer uden for Google Play Store til at inficere telefoner. Selvom Google implementerer bedre forsvarsmekanismer omkring disse "off-Play apps", er problemets omfang enormt. Google har rapporteret, at deres nye realtids scanning på kodeniveau allerede har opdaget over 5 millioner nye, ondsindede apps uden for Play Store, hvilket hjælper med at beskytte Android-brugere globalt. Nogle af disse trusler er dog markant farligere end andre.
Check Point forklarer, at "Rafel besidder alle de nødvendige funktioner til effektivt at udføre afpresningsordninger." Når malware opnår administratorrettigheder på enheden, kan den ændre låseskærmens adgangskode og forhindre afinstallation af selve malwaren. Hvis en bruger forsøger at tilbagekalde administratorrettigheder fra applikationen, ændrer den øjeblikkeligt adgangskoden og låser skærmen, hvilket effektivt blokerer ethvert forsøg på indgriben.
Udsatte enheder og operativsystemer
Check Point rapporterer, at hele 87% af alle registrerede infektioner fandt sted på telefoner med ældre, ikke-understøttede Android-versioner. Dog advarer de om, at selv brugere af de nyeste Android-versioner bør være bekymrede, da denne Android-trussel er i stand til at inficere en bred vifte af Android-versioner, fra de ældste ikke-understøttede versioner til de allernyeste. Dette betyder, at selv hvis du kører Android 14, er det essentielt at holde din telefon opdateret med de regelmæssigt frigivne sikkerhedsopdateringer. For nylig blev det observeret, at Google adresserede en sårbarhed i Pixel-telefoner, for hvilken der var fundet et målrettet exploit i naturen. Når det kommer til Android og malware, er der ingen plads til at tage chancer.
Rafel RAT's angrebsmetoder og funktionalitet
Teamet har observeret Rafel RAT udføre fjernovervågning, dataeksfiltrering og ransomware. Ofrene bliver "lokket" til at downloade apps fra uden for Google Play Store-økosystemet. Disse apps udgiver sig for at være populære sociale medietjenester, herunder nogle af de største og mest kendte brands. For at sige det enkelt, så svarer det at sideload'e apps på en telefon, der kører en forældet version af Android, til at spille russisk roulette med flere kugler i kammeret – dine chancer for at komme galt afsted er faretruende høje.
Den sociale ingeniørkunst bag disse angreb hviler på den stigende tendens til falske apps, der udgiver sig for populære apps for at lokke brugerne til at installere dem. Blandt de apps, som Rafel RAT udgiver sig for, er WhatsApp og Instagram, som er installeret på de fleste af de målrettede enheder. Når RAT'en er installeret, anmoder den om forskellige tilladelser til at få adgang til følsomme apps og tjenester, herunder kontakter, opkaldslogger og – kritisk vigtigt – SMS-beskeder. Dette giver RAT'en mulighed for at omgå 2FA-sikkerhedsforanstaltninger.
RAT'en er programmeret til at indsamle kontaktlister, SMS-beskeder, enhedsinformation, lokationsdata og skærmbilleder og sende dem til sin kontrolserver. Men den kan også slette data fra telefonen, vise falske systembeskeder, slette filer og mapper samt hente data og filer gemt på enheden og videresende dem til sine bagmænd. Dette gør den til et ekstremt potent værktøj for cyberkriminelle.
Sådan beskytter du dig selv
Check Point råder brugerne til at "være forsigtige med links og applikationer sendt af ukendte afsendere eller applikationer downloadet fra ukendte websteder." For dem, der er bekymrede for, at de måske har downloadet noget, de ikke burde, foreslår teamet, at "brugere skal lede efter usædvanlig adfærd på deres enhed, såsom uventet batteridræn, øget dataforbrug eller tilstedeværelsen af ukendte apps."
En af Androids primære forskelle i forhold til iPhone har altid været fleksibiliteten til at sideload'e apps fra tredjepartsbutikker og internettet. At begrænse disse friheder vil sandsynligvis ikke blive godt modtaget af brugerne. Men dette forbliver den mest sandsynlige kilde til malware-infektioner. Det er derfor ikke overraskende, at Google gør det stadigt sværere for ondsindede aktører at narre brugere til at installere farlige apps. Google Play Protect bliver forbedret med Android 15 til at scanne app-adfærd i realtid og flagge problemer, selv når Google ikke tidligere har set en specifik variant af malware. Desuden har Google for nylig introduceret et krav om biometri/PIN-kode for at installere en app, der potentielt kan være højrisiko.
Konsekvenserne af forældede operativsystemer
Intet af dette hjælper en bruger med en ældre, ikke-understøttet telefon. Og omfanget af dette problem er svimlende. Bitdefender anslår, at "næsten en tredjedel af verdens smartphones, der kører Android, vil køre et forældet, ikke-understøttet operativsystem." Når en ny sårbarhed opstår, er det første råd altid det samme, uanset platformen: Anvend de seneste sikkerhedsopdateringer så hurtigt som muligt. For Android-enheder, der kører operativsystemer, der er ude af livscyklus, er det dog ikke en mulighed.
Det svarer til over en milliard enheder, og Bitdefender advarer om, at "angribere kender statistikkerne." Så selvom de gyldne regler gælder for alle, gælder de dobbelt, hvis du spiller det farlige spil at lægge personlige data på en ikke-understøttet telefon. Her er en oversigt over de vigtigste forholdsregler:
| Forholdsregel | Beskrivelse |
|---|---|
| Opdatering er Nøglen | Hold altid dit Android-operativsystem og alle dine apps opdateret. Aktiver automatiske opdateringer, hvis muligt. |
| Undgå Ukendte Kilder | Download kun apps fra officielle app-butikker som Google Play Store. Vær ekstremt forsigtig med apps fra ukendte websteder eller tredjepartsbutikker. |
| Vær Kritisk over for Links | Klik ikke på mistænkelige links eller vedhæftede filer i e-mails, SMS'er eller beskeder fra ukendte afsendere. |
| Kend Din Enhed | Hold øje med usædvanlig adfærd på din telefon, såsom pludselig batteridræn, øget dataforbrug, ukendte apps eller mærkelige pop-ups. |
| Overvej Enhedsudskiftning | Hvis din telefon ikke længere modtager sikkerhedsopdateringer fra producenten, bør du seriøst overveje at opgradere til en nyere model for at minimere risikoen. |
| Forstå Sideloading | Hvis du vælger at sideload'e apps, skal du være yderst bevidst om risikoen og kun downloade fra absolut pålidelige kilder. |
Ofte Stillede Spørgsmål om Rafel RAT
Hvad er en RAT?
En RAT står for Remote Access Trojan. Det er en type malware, der giver en angriber fjernadgang og kontrol over en inficeret computer eller mobiltelefon. Angriberen kan typisk se skærmen, styre musen og tastaturet, få adgang til filer og endda aktivere kamera og mikrofon.
Hvilke enheder er mest udsatte for Rafel RAT?
De mest udsatte enheder er dem, der kører ældre, ikke-understøttede versioner af Android. Dog kan Rafel RAT også inficere enheder med nyere versioner, især hvis de er blevet kompromitteret via usikre downloads.
Hvordan kan jeg tjekke, om min telefon er inficeret?
Hold øje med tegn som uventet batteridræn, øget dataforbrug, nyligt installerede apps du ikke genkender, langsom ydeevne eller mærkelige pop-up-beskeder.
Er det sikkert at downloade apps fra uden for Google Play Store?
Generelt er det forbundet med en højere risiko. Selvom Google arbejder på at forbedre sikkerheden, er apps fra ukendte kilder den primære vej for malware som Rafel RAT til at inficere enheder.
Hvad kan jeg gøre, hvis jeg tror, min telefon er inficeret?
Du bør straks køre en fuld systemscanning med en anerkendt antivirus-app. Overvej at nulstille din telefon til fabriksindstillingerne (husk at sikkerhedskopiere dine vigtige data først) og undlad at installere apps fra usikre kilder fremover.
Begyndte Rafel RAT med at udgive sig for at være WhatsApp?
Ja, angribere, der bruger Rafel RAT, har udgivet sig for at være populære apps som WhatsApp og Instagram for at lokke brugere til at downloade dem.
At beskytte din digitale identitet og dine personlige data i dagens digitale landskab kræver konstant årvågenhed. Ved at følge de anbefalede sikkerhedsforanstaltninger og holde dig informeret om nye trusler som Rafel RAT, kan du markant reducere risikoen for at blive et offer for cyberkriminalitet.
Hvis du vil læse andre artikler, der ligner Beskyt din telefon mod Rafel RAT, kan du besøge kategorien Teknologi.