Rafel malware er en veldig farlig infeksjon som retter seg mot Android-enheter. Det er en Remote Access Trojan (RAT) type infeksjon, som lar operatørene fjernstyre den infiserte enheten. Hvis den lykkes med å infisere en enhet og får de nødvendige tillatelsene, kan den stjele sensitive data, låse dem og kryptere data.
Remote Access Trojans som Refal anses å være en av de farligste infeksjonene. Denne spesielle RAT-infeksjonen retter seg mot Android-enheter over hele verden, spesielt i USA, India, Kina og Indonesia. Flere høyprofilerte organisasjoner og enheter har blitt målrettet av angripere som driver denne skadelige programvaren.
Refal kan modifiseres for å passe behovene til den som kontrollerer den. Flere nettkriminelle grupper er kjent for å bruke denne trojaneren. Det er flere måter skadelig programvare kan komme inn på enheter, og dette vil bli diskutert mer detaljert nedenfor. Når den kommer inn i enheten, begynner den å be om tillatelser. Hvis det innvilges, samler skadelig programvare først inn enhetsdata, inkludert enhetsmodell, maskinvaredetaljer, batteriinformasjon, rotstatus, geolokaliseringsdata, språkinnstillinger, mobiloperatør, installerte apper, etc.
Skadevaren er ganske snikende og kan unngå oppdagelse ved å imitere legitime apper. Den kan tillate seg å starte automatisk når systemet starter opp, omgå å bli tvunget til å sove for å opprettholde batteriet, og operere i bakgrunnen etter at appen er lukket.
Trojaneren misbruker også Android Accessibility Services, som er en funksjon for å hjelpe brukere med funksjonshemminger med å bruke enhetene sine mer praktisk. Skadevaren bruker denne funksjonen til å lese skjermer, samhandle med tastaturet osv. Skadevaren kan også stjele og slette filer, samt tørke dataene på et SD-minnekort. Den kan også stjele kontaktlister og anropslogger, lese og sende SMS-meldinger, ringe, lese varsler og få multifaktorautentiseringskoder. Den kan også kryptere data på enheten, samt låse den.
Totalt sett er Rafel malware en svært alvorlig infeksjon som kan resultere i stjålne og permanent tapte data, identitetstyveri, økonomisk tap, personvernproblemer, etc.
Hvordan kommer Rafel malware (Android) inn i enheten?
Rafel-skadevaren distribueres på ganske mange forskjellige måter. Først av alt kan Rafel-skadelig programvare være forkledd som legitime apper som Instagram, WhatsApp, antivirusprogrammer, verktøy, etc., og markedsføres på tvilsomme nedlastingsnettsteder.
Det kan også spres ved hjelp av phishing og sosiale ingeniørangrep. Dette er sannsynligvis metoden som brukes når ondsinnede aktører retter seg mot noen spesifikke. Hvis de har tilgang til personlig informasjon, kan de gjøre sine sosiale ingeniørangrep veldig overbevisende. Imidlertid er slike sofistikerte angrep vanligvis forbeholdt høyprofilerte mål.
Som med all skadelig programvare, er det mulig å infisere en enhet med Rafel RAT når du laster ned sprekker og piratkopiert innhold. Skadelig programvare er også svært utbredt i forskjellige tredjeparts appbutikker og tvilsomme nedlastingssider.
En distribusjonsmetode som er spesifikk for Rafel-malware-infeksjonen er å utgi seg for å være et Telegram-basert klikkerspill kjent som Hamster Kombat. Spillet har blitt veldig populært fordi det lover å holde det som i hovedsak er kryptovaluta-giveaways. Spillet har blitt veldig populært i 2024, og det er grunnen til at ondsinnede aktører utgir seg for å infisere enheter med alvorlig skadelig programvare. Denne falske versjonen av Hamster Kombat-spillet distribueres gjennom uoffisielle Telegram-kanaler. Når appen lastes ned, ber den umiddelbart om alarmerende tillatelser, inkludert å bli standard SMS-applikasjon.
Image source: ESET WeLiveSecurity
Slik beskytter du deg mot skadelig programvare for Android
- Undersøk apper før du laster ned
Å inspisere apper nøye før du installerer dem på enheten din bør bli en vane hvis du vil unngå skadelig programvare i fremtiden. Selv når du laster ned en app fra en legitim kilde, må du sjekke utvikleren, lese anmeldelsene, inspisere hvilke tillatelser som blir bedt om osv.
- Bruk legitime butikker/plattformer for å laste ned apper
For å unngå å installere tvilsomme eller ondsinnede apper, hold deg til offisielle butikker og nedlastingsplattformer. Tredjeparts appbutikker har ikke bare dårlig sikkerhet, men er også dårlig regulert, noe som gjør at ondsinnede aktører kan laste opp ondsinnede apper som holder seg oppe i lang tid, og infiserer tusenvis av brukere før de blir tatt ned. Mens skadelig programvare av og til sniker seg forbi Googles sikkerhet og blir lastet opp til Google Play Store, er sjansene for å laste ned noe ondsinnet fra Play Store betydelig lavere.
- Gå alltid nøye gjennom forespurte tillatelser
Når du installerer en app på enheten din, ber den om tillatelse til å kunne fungere som den skal. For å beskytte deg mot ondsinnede apper, ikke klikk blindt på «Tillat» når en tillatelsesforespørsel dukker opp. Still alltid spørsmål ved hvorfor en bestemt app trenger tillatelsene den ber om. Hvis du for eksempel laster ned et spill og det ber om tillatelse til å lese meldingene dine, ringe osv., bør det være et umiddelbart rødt flagg.
- Hold enheten oppdatert
Sårbarheter oppdages hele tiden av utviklere, og oppdateringer utgis for å lappe dem opp. Hvis du hopper over oppdateringene, blir enheten din sårbar for nettangrep.
- Ikke klikk på ukjente lenker eller åpne uønskede e-postvedlegg
Vær veldig forsiktig med uønskede lenker mottatt via SMS, e-post, meldingsapper osv. Klikk aldri på ukjente lenker, og husk at offentlige etater (f.eks. rettshåndhevelse, skatteetater), banker og andre institusjoner ikke sender SMS-meldinger med lenker. Du bør heller aldri åpne uønskede e-postvedlegg uten å dobbeltsjekke dem først.