Ja jūsu Android tālrunis vairs nesaņem drošības atjauninājumus, jums ir paaugstināts izspiedējvīrusu uzbrukumu risks. Drošības pētnieki ir atklājuši vairākas ļaunprātīgas programmatūras kampaņas, kuru mērķauditorija galvenokārt ir novecojušas Android ierīces. Tajā tiek izmantota atvērtā koda Android ļaunprogrammatūra ar nosaukumu “Rafel RAT”. Pat vadošie modeļi, piemēram, Samsung Galaxy S, ir neaizsargāti.
Jaunas ransomware kampaņas, kuru mērķauditorija ir novecojuši Android tālruņi ar Rafel RAT
Rafel RAT ir spēcīgs atvērtā pirmkoda ļaunprātīgas programmatūras rīks ar izcilām metodēm, lai izvairītos no atklāšanas. Tas nodrošina ļaunprātīgiem dalībniekiem attālās administrēšanas un kontroles rīku komplektu, kas ļauj veikt dažādas ļaunprātīgas darbības inficētā ierīcē. Sākot no datu zādzības un novērošanas līdz manipulācijām ar ierīci, tas atvieglo visa veida attālos uzbrukumus, padarot to par populāru izvēli draudu dalībnieku vidū.
Drošības pētnieki Antonis Terefos un Bohdans Meļņikovs no Check Point nesen atklāja vairāk nekā 120 Android ļaunprātīgas programmatūras kampaņas, izmantojot Rafel RAT. Dažas no kampaņām vada labi zināmi apdraudējuma dalībnieki, tostarp APT-C-35 (pazīstams arī kā DoNot Team, Brainworm un Origami Elephant). Mazāk zināmi uzbrucēji ir aiz citiem, un lielākā daļa no tiem ir Pakistānā un Irānā.
Pētījumu firma norāda, ka lielākā daļa upuru atradās ASV, Ķīnā un Indonēzijā. Tomēr ļaunprogrammatūras kampaņas inficēja arī Android ierīces Indijā, Austrālijā, Francijā, Vācijā, Itālijā, Krievijā un vairākās citās valstīs. Uzbrucēji galvenokārt mērķēja uz ierīcēm, kurās darbojas operētājsistēma Android 11 vai vecāka. Šie tālruņi ir pārtraukuši saņemt drošības atjauninājumus un ir neaizsargāti pret zināmiem trūkumiem.
Saskaņā ar Check Point vairāk nekā 87,5% no visām ietekmētajām ierīcēm bija operētājsistēma Android 11 vai vecāka versija. Android 5 un Android 8 ierīces veidoja 17,9% uzbrukumu — visvairāk. Dažās ietekmētajās ierīcēs bija operētājsistēma Android 4. Tas liek mums aizdomāties, cik ilgi cilvēki tur rokās savus tālruņus. Android 4 parādījās 2011. gadā un vairs neatbalsta Google Play pakalpojumus, nemaz nerunājot par drošības atjauninājumu iegūšanu.
Kas attiecas uz viedtālruņu zīmoliem, tas ir visu populāro uzņēmumu sajaukums. Samsung ierīcēs tika novērots visvairāk uzbrukumu, taču tas varētu arī liecināt par to, ka tas ir lielākais pārdevējs. Korejas uzņēmums ražo vairāk tālruņu nekā jebkurš cits zīmols un jau sen ir bijis kaudzes augšgalā. Xiaomi, Vivo un Huawei ierīces bija otrā lielākā grupa starp mērķa upuriem.
Neinstalējiet lietotnes no nezināmiem avotiem
Kibernoziedznieki izplata Rafel RAT, izmantojot dažādus līdzekļus. Tomēr vairumā gadījumu lietotāji to lejupielādē, izmantojot ļaunprātīgus APK, kas slēpti kā populāri sociālie mediji un ziņojumapmaiņas lietotnes, tostarp Instagram un WhatsApp. Draudu dalībnieki arī uzdodas par e-komercijas platformām un pretvīrusu lietotnēm, lai izplatītu ļaunprātīgu programmatūru. Pēc instalēšanas tas pieprasa plašu atļauju klāstu, lai piekļūtu visam tālrunī.
Uzbrucēji var attālināti skatīties to visu un izlemt nākamo soli. Check Point analīze atklāja, ka uzbrucēji izdeva ransomware komandu aptuveni 10% gadījumu. Rafel RAT ransomware modulis šifrē ietekmētā tālruņa failus, izmantojot iepriekš definētu ARS atslēgu, sniedzot uzbrucējiem pilnīgu kontroli pār ierīci. Viņi var arī attālināti mainīt ierīces paroli, lai bloķētu lietotāju.
Izpētes firma saka, ka šīs Rafel RAT Android izspiedējvīrusu kampaņas “sekmīgi vērstas pret augsta līmeņa organizācijām, tostarp militāro sektoru”. Tas ir satraucoši un daudz pastāsta par riskiem, kas saistīti ar novecojušu ierīču lietošanu un lietotņu instalēšanu no nezināmiem avotiem. Jums vienmēr vajadzētu lejupielādēt lietotnes no oficiāliem avotiem, piemēram, Google Play veikala, Samsung Galaxy veikala vai oficiālās izstrādātāja vietnes.
