Connect with us
Publicitate

Eveniment

ALERTĂ: Dispozitivele cu Android, infectate de la distanță iar utilizatorii nu observă nimic. Ce este Rafel Remote Access Tool

Publicat

Publicitate

Rafel Remote Access Tool (RAT) reprezintă un tip de malware conceput pentru sistemele Android, prezentă și în România, transmit reprezentanții Directoratului Național pentru Securitate Cibernetică. Dispozitivele cu Android, infectate de la distanță iar utilizatorii nu observă nimic. Odată infectat, dispozitivul este controlabil de atacator: poate filma sau poate rula orice aplicație, inclusiv tranzacțiile financiare, scrie alba24.ro

Reprezentanții DNSC au prezentat modul în care funcționează Rafel Remote Access Tool, un instrument prezent și în România, oferind totodată și recomandări.

Rafel Remote Access Tool (RAT) reprezintă un tip de malware conceput pentru sistemele Android, prezentă și în România, transmit reprezentanții Directoratului Național pentru Securitate Cibernetică.

Acesta conferă atacatorilor capacitatea de a gestiona dispozitivele infectate de la distanță, fără ca proprietarii acestora să fie conștienți de prezența sa.

Malware-ul poate evita detecția pentru perioade extinse, ceea ce îi sporește eficiența în cadrul atacurilor.

Publicitate

Recent, acesta a fost semnalat ca fiind prezent și în România, spun cei de la DNSC.

Rafel RAT reprezintă o amenințare cibernetică majoră, ce poate fi folosită pentru spionaj și atacuri ransomware sofisticate.

Evoluția sa de la un simplu instrument de spionaj la un malware multifuncțional reflectă adaptabilitatea și pericolul pe care îl reprezintă pentru utilizatorii de dispozitive cu sistem de operare Android.

Publicitate

Rafel Remote Access Tool: istoricul aplicației

Aplicația a fost dezvoltată inițial în anul 2021 și distribuită gratuit prin intermediul GitHub fiind preluată și dezvoltată inclusiv de grupări de tip Advanced Persistent Threat (APT).

Rafel RAT a câștigat rapid notorietate în rândul infractorilor cibernetici datorită capacităților sale extinse și modului facil de utilizare, generând preocupări serioase atât pentru utilizatorii de platforme Android cât și pentru experții în securitate cibernetică.

A fost utilizat în numeroase atacuri cibernetice în diverse regiuni, cu accent pe frauda financiară și spionajul corporativ.

Rafel RAT a fost dezvoltat și distribuit inițial pentru a obține acces la date sensibile de pe dispozitivele Android infectate, cum ar fi mesaje SMS, jurnale de apeluri, contacte, parole stocate, locații și fișiere media.

Cele mai vulnerabile telefoane

Malware-ul a fost adaptat ulterior pentru a efectua atacuri de tip ransomware, criptând fișierele utilizatorilor și cerând răscumpărări pentru deblocarea acestora.

Majoritatea victimelor acestor atacuri au utilizat telefoane Samsung, Xiaomi, Vivo și Huawei, iar 87,5% dintre dispozitivele utilizate aveau un sistem de operare Android depășit ce nu mai beneficia de actualizări de securitate.

Ultima campanie, desfășurată în 2024, a avut ca ținte entități de rang înalt, pe o arie geografică foarte largă, ce cuprinde Australia, China, Franța, Germania, Italia, Pakistan, România, și SUA.

Ce este și cum funcționează Rafel Remote Access Tool

În unele atacuri, victimele au fost convinse să instaleze RAT-ul prin intermediul unor aplicații foarte cunoscute (cum ar fi Black WhatsApp, Story Saver for Instagram etc.), aplicații de suport sau soluții antivirus.

În alte cazuri, atacurile au avut loc prin email-uri care foloseau tehnici de inginerie socială pentru a convinge destinatarii să deschidă documente atașate sau să acceseze site-uri web infectate, instalând astfel malware-ul pe dispozitivele proprii.

Niciunul dintre aceste atacuri nu necesită acces cu drept de administrator (root), astfel încât acestea operează cu succes pe dispozitive cu sisteme de operare nemodificate.

Rafel RAT funcționează foarte bine pe Android 12 și versiunile anterioare, dar au fost înregistrate atacuri reușite și asupra dispozitivelor cu Android versiunea 13.

Rafel Remote Access: ToolMetode de distribuție (vectori de atac)

E-mailuri de tip phishing: Infractorii cibernetici folosesc adesea e-mailuri atent concepute care par a fi din surse legitime, conținând link-uri sau atașamente care, atunci când sunt accesate, duc la instalarea Rafel RAT.

Site-uri web malițioase: Utilizatorii pot fi înșelați să viziteze site-uri web compromise sau false care exploatează vulnerabilități în sistemul Android sau folosesc tehnici de inginerie socială pentru a convinge utilizatorii să descarce malware-ul.

Aplicații false: Rafel RAT este frecvent deghizat ca aplicație legitimă, precum actualizări de sistem, jocuri populare sau aplicații utilitare.

Acestea sunt distribuite prin magazine de aplicații neoficiale sau link-uri de descărcare directă.

SMS și conturi de social media: Atacatorii pot folosi mesaje text sau platforme de social media pentru a răspândi link-uri către aplicații sau site-uri web infectate.

Ce este Rafel Remote Access Tool: Mod de instalare

Odată ce aplicația malițioasă este descărcată, aceasta solicită un set extins de permisiuni de la utilizator. Aceste permisiuni includ adesea acces la contacte, SMS-uri, jurnale de apeluri, cameră, microfon, stocare și date de localizare.

Malware-ul poate folosi tactici înșelătoare pentru a convinge utilizatorii să acorde aceste permisiuni, cum ar fi faptul că sunt necesare pentru funcționalitatea aplicației.

Rafel Remote Access Tool: Capacități și funcționalitate

Furt de date: Rafel RAT poate accesa și extrage o gamă largă de date sensibile, cum ar fi: contacte, mesaje SMS (inclusiv coduri 2FA), jurnale de apeluri, istoricul de navigare, parole stocate, informații financiare.

Înregistrare audio și video: Malware-ul poate activa silențios microfonul și camera dispozitivului pentru a înregistra acțiunile și împrejurimile utilizatorului.

Capturi de ecran: Poate face capturi de ecran ale dispozitivului, putând extrage informații sensibile precum datele de autentificare (utilizator, parole, PIN-uri).

Acces la fișiere: Rafel RAT poate naviga și descărca fișiere stocate pe dispozitiv, inclusiv fotografii, documente și copii de siguranță.

Urmărire GPS: Malware-ul poate monitoriza și raporta locația dispozitivului în timp real.

Control de la distanță: Atacatorii pot folosi Rafel RAT pentru a executa comenzi pe dispozitivul infectat, prin instalarea unor module suplimentare ale malware-ului sau prin desfășurarea unor acțiuni neautorizate.

Keylogging: Poate înregistra tastele apăsate, capturând parole și alte date sensibile.

Manipularea aplicațiilor: Rafel RAT poate lansa aplicații, modifica setările aplicațiilor și chiar dezinstala software-ul de securitate.

Compatibilitate extinsă: Suport pentru versiuni Android de la v5 la v13, acoperind o gamă largă de dispozitive vulnerabile.

Evitarea detectării: Evită detecția de către PlayProtect și alte soluții de securitate pentru dispozitivele mobile.

Rafel RAT comunică cu serverele de comandă și control operate de atacatori.

Această comunicare este adesea criptată pentru a evita detectarea de către software-ul de securitate.

Serverele C2 pot trimite comenzi către dispozitivele infectate și pot exfiltra datele dorite.

Când malware-ul obține privilegii de tip DeviceAdmin, acesta poate modifica parola ecranului de blocare.

În plus, prin utilizarea dreptului de administrare a dispozitivului poate bloca procesul de dezinstalare a malware-ului.

Dacă un utilizator încearcă să revoce privilegiile de administrator din aplicație, acesta schimbă parola și blochează ecranul, împiedicând orice încercare de intervenție.

Atacatorii utilizează un panou de control web, care funcționează fără a necesita cunoștințe avansate de programare.

Prin intermediul acestei interfețe, atacatorii pot monitoriza și controla dispozitivele mobile infectate și pot decide cu privire la următorii pași ai atacului.

Comanda GetContact, de exemplu, permite obținerea detaliilor privind persoanele de contact stocate pe dispozitivul victimei.

Acest lucru oferă accesul la informații personale sensibile existente pe dispozitiv, facilitând furtul de identitate, atacurile de inginerie socială sau exploatarea în continuare a contactelor victimei în scopuri rău intenționate.

O altă facilitate a malware-ului permite criptarea fișierelor folosind tehnologia AES, cu o cheie predefinită. Alternativ, poate șterge fișiere din dispozitivele infectate.

Conturile și tranzacțiile, în pericol

Agresorii cibernetici pot prelua mesaje SMS care conțin informații sensibile utilizând comanda GetSMS, inclusiv pentru a obține detalii despre autentificarea cu doi factori (2FA).

Acest lucru prezintă un risc semnificativ de securitate, deoarece codurile 2FA sunt utilizate în mod obișnuit pentru securizarea conturilor și tranzacțiilor.

Un astfel de server C2 a fost instalat pe site-ul web al unei entități guvernamentale din Pakistan (districtjudiciarycharsadda.gov[.]pk), și este funcțional din aprilie 2023 până în prezent, victimele fiind din diverse țări printre care USA, Rusia, China și România.

Rafel Remote Access Tool: Recomandări DNSC

Conștientizarea și măsurile de protecție adecvate sunt importante pentru a preveni infectarea și pierderea datelor.

Din cauza mecanismelor de protecție specifice, Rafel RAT adesea nu este detectat de software-ul antivirus clasic.

Recomandăm implementarea următoarelor măsuri de bază de securitate cibernetică:

Sporirea vigilenței este principalul atu avut oricând la dispoziție de către un utilizator obișnuit.

Manifestați atenție la verificarea e-mailurilor primite, în special a celor care conțin atașamente sau link-uri suspecte!

Descărcați aplicațiile doar din surse de încredere, folosind doar magazinele oficiale, cum ar fi Google Play Store.

Analizați cu atenție permisiunile aplicațiilor solicitate la instalare sau la actualizare și fiți precauți la aplicațiile care solicită permisiuni excesive sau inutile.

Scanați cu o soluție de securitate instalată pe dispozitiv sau cu una disponibilă gratis online, link-urile sau atașamentele suspecte. Nu uitați să aplicați la timp update-urile pentru aceste soluții de securitate!

Pentru a vă proteja eficient împotriva ransomware, trebuie să vă concentrați în principal pe poarta principală de acces a acestuia: comunicarea prin e-mail.

Acestea se ascund adesea sub forma unor fișiere, aparent legitime, ce permit atacatorilor accesul la sistem și rularea unor programe de exfiltrare și/sau criptare a fișierelor de pe dispozitivele compromise.

Actualizați de urgență sistemele de operare, programele antivirus, browser-ele web, clienții de e-mail și alte programe utilitare.

Realizați periodic sesiuni de training cu personalul. Acestea sunt necesare atât pentru conștientizare/prevenire, cât și pentru a ști ce este de făcut în cazurile în care au loc incidente de securitate cibernetică, astfel încât acestea să fie gestionate eficient.

Nu ezitați să contactați Directoratul Național de Securitate Cibernetică (DNSC), în cazul în care suspectați că dispozitivele din cadrul entității dumneavoastră au fost compromise sau sunteți subiectul unui atac cibernetic.

Urmăriți Botosani24.ro și pe Google News



Dacă ți-a plăcut articolul și vrei să fii la curent cu ce scriem:


ȘTIREA TA - Dacă ești martorul unor evenimente deosebite, fotografiază, filmează și trimite-le la Botosani24 prin Facebook, WhatsApp, sau prin formularul online.


Eveniment

TAUR, rămas captiv într-o fântână, salvat de pompierii militari și voluntari din Săveni

Publicat

Publicitate

Rămas captiv într-o fântână, un taur a fost salvat de pompierii militari și voluntari. Acesta a căzut în puțul adânc de aproximativ doi metri, iar localnicii au încercat să îl ajute pe proprietar să îl elibereze. Eforturile lor au fost zadarnice, motiv pentru care au sunat la 112.

Chemați în ajutor, pompierii din cadrul Stației Saveni au ajuns, în cel mai scurt timp, la fața locului, cu o autospecială de intervenție și accesorii specifice. Acestora li s-a alăturat și Serviciul Voluntar pentru Situații de Urgență Săveni, cu un buldoexcavator.

Pentru a putea ajunge la animal, s-a săpat în jurul fântânii și s-a îndepartat primul tub, cu ajutorul utilajului.

Folosindu-se de kitului de salvare din spații înguste, pompierii au reuşit să îl aducă la suprafaţă. Acesta nu a fost rănit.

Intervenţia, care s-a încheiat în urmă cu puțin timp, a durat aproape o oră. Întâmplarea a avut loc în gospodăria unui localnic din Petricani.

“În continuare, pompierii militari rămân mobilizați, 24 de ore din 24, pentru gestionarea operativă a situaţiilor de urgenţă şi acordarea primului ajutor medical specializat persoanelor aflate în dificultate”, a transmis purtătorul de cuvânt al Inspectoratului pentru Situații de Urgență Botoşani, Dorina Lupu.

Publicitate

Iată și câteva imagini de la acțiunea pompierilor:

Publicitate
Citeste mai mult

Eveniment

Un șarpe de peste un metru lungime a băgat GROAZA într-o familie din Corni. Au intervenit jandarmii

Publicat

Publicitate

Un șarpe de peste un metru lungime a speriat-o, în această dimineață, pe proprietara unei locuințe din comuna Corni, au anunțat jandarmii de la Botoșani.

Femeia a observat șarpele care se târa pe trotuarul casei și a solicitat sprijinul jandarmilor prin apel telefonic.

Un echipaj de jandarmerie a intervenit prompt în urma apelului făcut de proprietară  și a prins șarpele cu ùn dispozitiv special, după care l-a eliberat în siguranță într-o zonă împădurită, departe de zonele locuite.

“Recomandăm cetățenilor care se confruntă cu situații similare să nu se apropie de șerpii pătrunși în curte sau în locuințe, să îi supravegheze cu atenție, astfel încât să cunoască locul unde se află și să solicite sprijinul autorităților competente prin apel la numărul unic de urgență 112, în vederea îndepărtării pericolului”, a transmis purtătorul de cuvânt al Inspectoratul de Jandarmi Județean Botoșani, plutonier adjutant șef Dan Izotov.

Citeste mai mult

Eveniment

America FIERBE: Tentativă de asasinat asupra lui Donald Trump. Atacatorul a fost împușcat

Publicat

Publicitate

Tentativă de asasinat asupra lui Donald Trump, la un miting electoral. Fostul preşedinte Donald Trump, candidat republican la alegerile americane din noiembrie, a fost evacuat de urgență de la un miting de campanie în Pennsylvania. 

S-au auzit focuri de armă, iar Trump avea sânge vizibil la urechea dreaptă. Cel puţin o persoană din rândul asistenţei a murit, dar și atacatorul scriu AFP şi Reuters, citate de Agerpres.

Presupusul trăgător şi un spectator au fost ucişi, iar o altă persoană a fost rănită în stare gravă, potrivit presei americane, citând autorităţile judiciare locale.

Biroul Federal de Investigaţii (FBI) din SUA a confirmat că focurile de armă care l-au vizat sâmbătă pe Donald Trump la un miting de campanie în Pennsylvania au fost cu adevărat „o tentativă de asasinat”, relatează AFP şi Reuters.

YouTube video

Tentativă de asasinat asupra lui Donald Trump, confirmată de FBI

„În această seară am asistat la ceea ce numim o tentativă de asasinat asupra fostului nostru preşedinte Donald Trump”, a declarat un oficial al FBI, Kevin Rojek într-o conferinţă de presă.

Publicitate

FBI l-a identificat pe atacatorul de la mitingul lui Trump. Este vorba de Thomas Matthew Crooks, în vârstă de 20 de ani, transmite CNN.

„FBI l-a identificat pe Thomas Matthew Crooks, 20 de ani, din Bethel Park, Pennsylvania, ca fiind subiectul implicat în tentativa de asasinare a fostului președinte Donald Trump, pe 13 iulie, în Butler, Pennsylvania.

Aceasta rămâne o anchetă activă și în curs de desfășurare, iar orice persoană care deține informații care ar putea contribui la anchetă este încurajată să trimită fotografii sau înregistrări video online la FBI.gov/butler sau să sune la 1-800-CALL-FBI.”

Publicitate

Nepotul congresmanului republican de Texas Ronny Jackson a fost rănit în împuşcăturile de la mitingul lui Donald Trump, informează Politico.

„Un glonţ i-a trecut prin gât şi sângera”, a declarat Jackson pentru Fox News, adăugând că nepotul său era aşezat în spatele lui Trump şi „în prima linie”.

Citeste mai mult

Eveniment

Dacă plecați la drum: Restricţii de circulaţie pe mai multe drumuri din cauza caniculei şi a unor lucrări

Publicat

Publicitate

Restricţii de circulaţie sunt impuse duminică pe mai multe drumuri din România din cauza caniculei şi a unor lucrări, așa că cei care pleacă la drum în această perioadă de concedii sau cei care sunt profesioniști trebuie să fie atenți la trasele pe care e urmează, relatează mediafax.ro.

Centrul Infotrafic din Inspectoratul General al Poliţiei Române informează că duminică dimineaţă nu sunt semnalate drumuri naţionale sau autostrăzi cu circulaţia oprită ca urmare a vreunui eveniment rutier sau a condiţiilor meteorologice.

Pe arterele rutiere principale, respectiv autostrăzile A 1 Bucureşti-Piteşti, A 2 Bucureşti-Constanţa, A 3 Bucureşti-Braşov, DN 1 Ploieşti-Braşov şi DN 7 Piteşti-Râmnicu Vâlcea, „se circulă pe un carosabil uscat, cu vizibilitate bună şi valori de trafic scăzute”.

Restricţii sunt impuse din cauza unor lucrări şi a caniculei.

Până la data de 9 august, pe DN 7 Piteşti-Sibiu, pe tronsonul kilometric 242 – 250, în zona localităţii Boiţa, judeţul Sibiu, este instituită măsura de închidere a circulaţiei rutiere, zilnic, în intervalul orar 6:00 – 20:00, pentru derularea lucrărilor de defrişare versant, ce se impun a fi executate premergător construcţiei autostrăzii Sibiu – Piteşti. În acest interval de timp, traficul autovehiculelor se desfăşoară pe rute ocolitoare.

Începând din data de 10 iulie, timp de aproximativ 2 ani, se vor executa lucrări de reparaţie a Podului Giurgiu-Ruse, pe tronsonul bulgar, lucrări care se vor desfăşura zilnic, timp de 10-12 ore. Din acest motiv, traficul rutier se va desfăşura alternativ pe DN 5, pe o singură bandă, prin semaforizare, indicatoare rutiere şi personal de dirijare. În prima etapă a lucrărilor, circulaţia va fi restricţionată pe sensul de intrare în Bulgaria, ulterior pe sensul de intrare în România. În prezent este formată coloană de autovehicule la ieşirea din ţară, pe o distanţă de aproximativ 4 kilometri, a naunţat Infotrafic, duminică dimineaţă.

Publicitate

Până luni, la ora 6:00, sunt instituite restricţii de tonaj, pentru autovehiculele mai mari de 7,5 tone, pe DN 39 Agigea – Vama Veche, în perioada desfăşurării festivalului BEACH, PLEASE! din staţiunea Costineşti, judeţul Constanţa. Această măsură a fost luată pentru evitarea ambuteiajelor, reducerea riscului accidentelor rutiere şi protejarea participanţilor la trafic şi la eveniment! În acest interval de timp, autocamioanele vor circula pe ruta alternativă de pe DN 38.

Totodată, ca urmare a temperaturilor extreme din această perioadă, pentru care Administraţia Naţională de Meteorologie a emis avertizări cod roşu de caniculă, astăzi, în intervalul orar 10:00 – 20:00, sunt instituite restricţii de tonaj pentru autovehiculele cu masa totală maximă autorizată mai mare de 7,5 tone, pe toate sectoarele de drumuri naţionale, drumurile expres şi autostrăzi din judeţele: Arad, Argeş, Bacău, Bihor, Botoşani, Brăila, Buzău, Caraş-Severin, Călăraşi, Dâmboviţa, Dolj, Galaţi, Giurgiu, Gorj, Ialomiţa, Iaşi, Ilfov, Mehedinţi, Neamţ, Olt, Prahova, Satu-Mare, Suceava, Teleorman, Timiş, Vaslui, Vâlcea şi Vrancea.

Măsura este impusă pentru „prevenirea degradărilor provocate de circulaţia traficului greu şi prevenirea deformaţiilor majore ireversibile, cu pierderea stabilităţii straturilor rutiere”.

Publicitate

Excepţii sunt transporturile de persoane, transporturile de animale vii şi produse perisabile de origine animală sau vegetală, vehiculele care participă la intervenţii în caz de forţă majoră, transporturile funerare, poştale, de echipamente de prim ajutor, pentru distribuire de carburanţi, de mărfuri sub temperatură controlată, pentru tractări vehicule avariate, pentru distribuirea de apă şi hrană în zonele calamitate, cu vehicule specializate destinate prin construcţie salubrizării, de apă îmbuteliată, produse provenite din exploatări agricole şi militare implicate în exerciţii multinaţionale.

Citeste mai mult
Publicitate
Publicitate

Știri Romania24.ro

Publicitate

Trending