Jak usunąć trojana zdalnego dostępu Rafel z urządzenia z Androidem
Napisany przez Tomasa Meskauskasa,
Jakiego rodzaju złośliwym oprogramowaniem jest Rafel?
Rafel to trojan zdalnego dostępu (RAT) o otwartym kodzie źródłowym, którego celem są urządzenia z systemem Android. Program ten umożliwia zdalną kontrolę nad zainfekowanymi maszynami. Rafel może manipulować urządzeniami, kraść dane i działać jako ransomware.
Ten RAT jest kompatybilny z wersjami Androida od 5 do 12 i był używany do infekowania różnych marek i modeli smartfonów. Rafel był wykorzystywany w ponad 100 kampaniach przez różnych aktorów zagrożeń, w tym grupę szpiegowską "DoNot Team" (APT-C-35). Złośliwe oprogramowanie zostało zmodyfikowane w celu dostosowania do potrzeb atakujących.
Rafel jest używany na całym świecie, a najbardziej dotknięte regiony to USA, Chiny, Indie i Indonezja. Trojan został wykorzystany przeciwko znanym organizacjom i podmiotom związanym z wojskiem. Jednym z godnych uwagi ataków było udane zhakowanie pakistańskiej strony rządowej.
Przegląd złośliwego oprogramowania Rafel
Jak wspomniano we wstępie, istnieje wiele wersji Rafel. Poniżej znajduje się przegląd najbardziej rozpowszechnionych funkcji napotykanych we wszystkich wariantach. Zazwyczaj trojan ten infiltruje urządzenia pod pozorem legalnych (lub tak brzmiących) aplikacji.
Rafel może żądać przyznania różnych uprawnień przez ofiary lub zdobywać je ukradkiem (tj. aby nie wzbudzać podejrzeń, prosząc o nieistotne/inwazyjne uprawnienia). Po udanej infiltracji urządzenia i uzyskaniu niezbędnych uprawnień trojan zdalnego dostępu rozpoczyna zbieranie podstawowych danych urządzenia.
Ukierunkowane informacje obejmują: specyfikę modelu urządzenia, szczegóły sprzętowe (np. ilość pamięci RAM), status root, informacje o baterii (procent naładowania), ustawienia językowe, operatora, dane geolokalizacyjne, zainstalowane aplikacje itp. Rafel może również śledzić lokalizację urządzenia na żywo.
Wersje tego złośliwego oprogramowania wykorzystują mechanizmy zapobiegające wykrywaniu i zapewniające trwałość. Na przykład, trojan może imitować legalną aplikację, omijać Google Play Protect, nie być zmuszanym do "uśpienia" w celu optymalizacji baterii, automatycznie uruchamiać się po ponownym uruchomieniu systemu, działać w tle nawet po zamknięciu aplikacji i tak dalej.
RAT nadużywa również usług Android Accessibility Services. Są one przeznaczone jako dodatkowa pomoc w interakcji z urządzeniem dla użytkowników, którzy tego wymagają. Usługi ułatwień dostępu mogą odczytywać ekrany, symulować ekran dotykowy, wchodzić w interakcje z klawiaturą itp. Dlatego złośliwe oprogramowanie, które wykorzystuje te usługi, zyskuje ich pełną funkcjonalność. Wiele Android RAT polega na Android Accessibility Services w celu manipulowania urządzeniami.
Ponadto Rafel może eksfiltrować i usuwać pliki, a nawet czyścić karty pamięci SD. Trojan może zapobiegać ściemnianiu/blokowaniu ekranów (wakelock), wibrować urządzeniem i wydawać polecenia tekstowo-mówiące (tj. odczytywać wiadomości ofiarom).
Złośliwe oprogramowanie pobiera listy kontaktów i dzienniki połączeń, z których te ostatnie może również usunąć. Rafel może zbierać i wysyłać wiadomości SMS. Programy, które mają możliwość wykonywania połączeń telefonicznych lub wysyłania SMS-ów, mogą być używane jako Toll Fraud malware, chociaż nie było znanych ataków wykorzystujących Rafela w tym charakterze.
Inną funkcjonalnością tego RAT jest kradzież powiadomień i został on wykorzystany do uzyskania kodów 2FA/MFA (Two/Multi-Factor Authentication) i OTP (One-Time Passwords).
Ponadto Rafel może działać jako ransomware szyfrujące pliki i blokujące ekran. Oprogramowanie sklasyfikowane jako takie szyfruje dane i / lub blokuje ekran urządzenia, żądając okupu za odszyfrowanie / odzyskanie dostępu.
W znanych infekcjach Rafel ransomware szyfrował pliki i uniemożliwiał dostęp do urządzeń poprzez zmianę hasła blokady ekranu. Ekran główny urządzenia i tapety ekranu blokady zostały zmienione na wiadomość z żądaniem okupu. Ofiara była również ostrzegana o ataku za pośrednictwem wiadomości SMS z towarzyszącym poleceniem wibracji. Jednak ten RAT może postępować zgodnie z innym protokołem (np. ostrzegać ofiary za pośrednictwem powiadomienia Discord, wiadomości text-to-speech itp.)
Podsumowując, obecność złośliwego oprogramowania, takiego jak Rafel, na urządzeniach może skutkować trwałą utratą danych, poważnymi problemami z prywatnością, znacznymi stratami finansowymi, a nawet kradzieżą tożsamości. Należy wspomnieć, że ataki na cele o wysokiej wrażliwości (jak Rafel w przeszłości) niosą ze sobą większe ryzyko.
| Nazwa | Rafel trojan zdalnego dostępu |
| Typ zagrożenia | Android malware, złośliwa aplikacja, trojan zdalnego dostępu, Remote Administration Tool, RAT. |
| Nazwy wykrywania | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Backdoor.828.origin), ESET-NOD32 (Wariant Android/Agent.CIT), Kaspersky (HEUR:Trojan-Ransom.AndroidOS.Agent.ak), Pełna lista (VirusTotal). |
| Objawy | Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne znaczące objawy nie są wyraźnie widoczne na zainfekowanym komputerze. Jednak urządzenie może działać wolno, ustawienia systemowe są modyfikowane bez zgody użytkownika, zwiększa się zużycie danych i baterii. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, zwodnicze aplikacje, oszukańcze strony internetowe. |
| Uszkodzenie | Kradzież danych osobowych (prywatnych wiadomości, loginów/haseł itp.), spadek wydajności urządzenia, szybkie rozładowanie baterii, spadek prędkości Internetu, ogromne straty danych, straty pieniężne, kradzież tożsamości (złośliwe aplikacje mogą nadużywać aplikacji komunikacyjnych). |
| Usuwanie malware (Android) | Aby usunąć możliwe infekcje malware, przeskanuj urządzenie przenośne profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady trojanów zdalnego dostępu
Brokewell, Joker, VajraSpy, oraz Rusty Droid to tylko niektóre z naszych najnowszych artykułów na temat RAT-ów, których celem są urządzenia z Androidem. Trojany zdalnego dostępu mogą być niezwykle wielofunkcyjne i wszechstronne. Jednak nawet złośliwe oprogramowanie o szczególnie wąskim zakresie możliwości zagraża integralności systemu i bezpieczeństwu użytkownika.
Dlatego niezależnie od tego, jak działa złośliwy program - należy go wyeliminować natychmiast po wykryciu.
Jak Rafel przeniknął do mojego urządzenia?
Zaobserwowano, że Rafel jest dystrybuowany za pośrednictwem podejrzanych źródeł, które naśladują legalne podmioty. Złośliwe oprogramowanie zostało zaobserwowane w różnych przebraniach, w tym między innymi w aplikacjach społecznościowych (Instagram), komunikatorach (WhatsApp), platformach handlu elektronicznego, oprogramowaniu do obsługi usług i narzędziach antywirusowych.
Należy jednak wspomnieć, że ten RAT może być rozprzestrzeniany przy użyciu różnych metod. Phishing i inżynieria społeczna są powszechne w dystrybucji złośliwego oprogramowania. Złośliwe oprogramowanie jest często ukryte lub dołączone do zwykłej zawartości.
Najbardziej rozpowszechnione techniki rozprzestrzeniania obejmują: niezaufane kanały pobierania (np. witryny z darmowym oprogramowaniem i darmowymi hostingami plików, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp, ), oszustwa internetowe, złośliwe reklamy, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje.
Co więcej, niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Warto zauważyć, że złośliwe oprogramowanie może być hostowane przez prawdziwe źródła pobierania (np. Google Play Store itp.) Chociaż jego żywotność na takich platformach jest zwykle krótka (tj. złośliwe oprogramowanie jest szybko oznaczane i usuwane), cyberprzestępcy mogą uznać to za wystarczająco opłacalne.
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy zapoznanie się z oprogramowaniem, czytając warunki i recenzje użytkowników/ekspertów, sprawdzając niezbędne uprawnienia, weryfikując legalność dewelopera itp. Ponadto wszystkie pliki do pobrania muszą być pobierane z oficjalnych i zweryfikowanych kanałów.
Innym zaleceniem jest aktywowanie i aktualizowanie programów przy użyciu legalnych funkcji/narzędzi, ponieważ te pobrane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Zalecamy czujność podczas przeglądania, ponieważ fałszywe i złośliwe treści online zwykle wydają się legalne i nieszkodliwe. Do przychodzących e-maili i innych wiadomości należy podchodzić ostrożnie. Nie wolno otwierać załączników ani linków znalezionych w podejrzanych/nieprawidłowych wiadomościach, ponieważ mogą one być zakaźne.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego niezawodnego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów.
Przebrania noszone przez Rafela RAT i wymagane uprawnienia (źródło obrazu - Check Point):
Szybkie menu:
- Wprowadzenie
- Jak usunąć historię przeglądania z przeglądarki Chrome?
- Jak wyłączyć powiadomienia w przeglądarce Chrome?
- Jak zresetować przeglądarkę Chrome?
- Jak usunąć historię przeglądania z przeglądarki Firefox?
- Jak wyłączyć powiadomienia w przeglądarce Firefox?
- Jak zresetować przeglądarkę Firefox?
- Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
- Jak uruchomić urządzenie z Androidem w trybie awaryjnym?
- Jak sprawdzić zużycie baterii przez różne aplikacje?
- Jak sprawdzić wykorzystanie danych przez różne aplikacje?
- Jak zainstalować najnowsze aktualizacje oprogramowania?
- Jak zresetować system do stanu domyślnego?
- Jak wyłączyć aplikacje z uprawnieniami administratora?
Usuń historię przeglądania w przeglądarce Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Stuknij "Wyczyść dane przeglądania", wybierz zakładkę "ZAAWANSOWANE", wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie stuknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Chrome:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Ustawienia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz opcję "Ustawienia witryny" i dotknij jej. Przewiń w dół, aż zobaczysz opcję "Powiadomienia" i dotknij jej.
Znajdź witryny dostarczające powiadomienia przeglądarki, dotknij ich i kliknij "Clear & reset". Spowoduje to usunięcie uprawnień przyznanych tym witrynom do dostarczania powiadomień. Jednak po ponownym odwiedzeniu tej samej witryny może ona ponownie poprosić o pozwolenie. Możesz wybrać, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, witryna przejdzie do sekcji "Zablokowane" i nie będzie już pytać o pozwolenie).
Zresetuj przeglądarkę internetową Chrome:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Chrome", wybierz ją i dotknij opcji "Przechowywanie".
Dotknij "ZARZĄDZANIE PRZECHOWYWANIEM", a następnie "WYCZYŚĆ WSZYSTKIE DANE" i potwierdź czynność, dotykając "OK". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn internetowych.
Usuń historię przeglądania z przeglądarki Firefox:
Dotknij przycisku "Menu" (trzy kropki w prawym górnym rogu ekranu) i wybierz "Historia" w otwartym menu rozwijanym.
Przewiń w dół, aż zobaczysz "Wyczyść prywatne dane" i dotknij go. Wybierz typy danych, które chcesz usunąć i dotknij "Wyczyść dane".
Wyłącz powiadomienia przeglądarki w przeglądarce Firefox:
Odwiedź witrynę, która dostarcza powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie "Zamkiem") i wybierz "Edytuj ustawienia witryny".
W otwartym wyskakującym okienku wybierz opcję "Powiadomienia" i dotknij "Wyczyść".
Zresetuj przeglądarkę Firefox:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż znajdziesz aplikację "Firefox", wybierz ją i dotknij opcji "Przechowywanie".
Dotknij "WYCZYŚĆ DANE" i potwierdź czynność, dotykając "USUŃ". Należy pamiętać, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, ustawienia inne niż domyślne i inne dane zostaną usunięte. Konieczne będzie również ponowne zalogowanie się do wszystkich witryn internetowych.
Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Apps" i dotknij go.
Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i dotknij "Odinstaluj". Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć "Trybu bezpiecznego".
Uruchom urządzenie z systemem Android w trybie awaryjnym:
"Tryb bezpieczny" w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych firm. Korzystanie z tego trybu jest dobrym sposobem na diagnozowanie i rozwiązywanie różnych problemów (np. usuwanie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonywanie tych czynności, gdy urządzenie działa "normalnie").
Naciśnij przycisk "Zasilanie" i przytrzymaj go do momentu wyświetlenia ekranu "Wyłączanie". Stuknij ikonę "Wyłącz zasilanie" i przytrzymaj ją. Po kilku sekundach pojawi się opcja "Tryb bezpieczny", którą będzie można uruchomić poprzez ponowne uruchomienie urządzenia.
Sprawdź zużycie baterii w różnych aplikacjach:
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Konserwacja urządzenia" i dotknij go.
Stuknij "Bateria" i sprawdź zużycie energii przez poszczególne aplikacje. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywały jak najmniej energii, aby zapewnić jak najlepsze wrażenia użytkownika i oszczędzać energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.
Sprawdź wykorzystanie danych przez różne aplikacje:
Przejdź do "Ustawień", przewiń w dół, aż zobaczysz "Połączenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Użycie danych" i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne / oryginalne aplikacje są zaprojektowane tak, aby zminimalizować zużycie danych w jak największym stopniu. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane do działania tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić wykorzystanie danych zarówno w sieci komórkowej, jak i Wi-Fi.
Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy z niej nie korzystasz, zdecydowanie zalecamy odinstalowanie jej tak szybko, jak to możliwe.
Zainstaluj najnowsze aktualizacje oprogramowania:
Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzenia. Producenci urządzeń stale wydają różne poprawki bezpieczeństwa i aktualizacje Androida w celu naprawienia błędów i usterek, które mogą być wykorzystywane przez cyberprzestępców. Nieaktualny system jest znacznie bardziej podatny na ataki, dlatego też należy zawsze upewnić się, że oprogramowanie urządzenia jest aktualne.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Aktualizacja oprogramowania" i dotknij go.
Stuknij "Pobierz aktualizacje ręcznie" i sprawdź, czy dostępne są jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji "Pobieraj aktualizacje automatycznie" - umożliwi to systemowi powiadamianie o wydaniu aktualizacji i/lub jej automatyczną instalację.
Zresetuj system do stanu domyślnego:
Wykonanie "Factory Reset" to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo / audio, numery telefonów (przechowywane w urządzeniu, a nie na karcie SIM), wiadomości SMS i tak dalej. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.
Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "O telefonie" i dotknij go.
Przewiń w dół, aż zobaczysz "Resetuj" i dotknij go. Teraz wybierz czynność, którą chcesz wykonać:
"Zresetuj ustawienia" - przywrócenie wszystkich ustawień systemowych do wartości domyślnych;
"Zresetuj ustawienia sieciowe" - przywrócenie wszystkich ustawień sieciowych do wartości domyślnych;
"Zresetuj dane fabryczne" - zresetowanie całego systemu i całkowite usunięcie wszystkich zapisanych danych;
Wyłącz aplikacje z uprawnieniami administratora:
Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia i wyłączać te, które nie powinny.
Przejdź do "Ustawienia", przewiń w dół, aż zobaczysz "Ekran blokady i zabezpieczenia" i dotknij go.
Przewiń w dół, aż zobaczysz "Inne ustawienia zabezpieczeń", dotknij go, a następnie dotknij "Aplikacje administratora urządzenia".
Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij "DEAKTYWUJ".
Często zadawane pytania (FAQ)
Moje urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem Rafel, czy powinienem sformatować pamięć, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie Rafel?
Zagrożenia związane z infekcją zależą od funkcjonalności złośliwego oprogramowania i sposobu działania cyberprzestępców. Rafel to RAT - trojan, który umożliwia zdalny dostęp/kontrolę nad urządzeniami. Jest również zdolny do kradzieży poufnych informacji i działania jako ransomware.
Tego rodzaju infekcje mogą skutkować utratą danych, poważnymi problemami z prywatnością, stratami finansowymi i kradzieżą tożsamości. Rafel został wykorzystany przeciwko prestiżowym organizacjom i podmiotom związanym z wojskiem - takie ataki mogą stanowić większe zagrożenie.
Jaki jest cel złośliwego oprogramowania Rafel?
Złośliwe oprogramowanie jest wykorzystywane głównie w celach zarobkowych, a Rafel był wykorzystywany w takich atakach. Jednak, jak wspomniano w powyższej odpowiedzi, trojan ten był wykorzystywany w infekcjach o motywacji politycznej/geopolitycznej.
Oprócz zysków finansowych i ataków motywowanych względami ideologicznymi/międzynarodowymi, złośliwe oprogramowanie jest wykorzystywane do rozrywki atakujących, prowadzenia osobistych zemst, zakłócania procesów (np. stron internetowych, usług, firm itp.) oraz angażowania się w haktywizm.
W jaki sposób złośliwe oprogramowanie Rafel infiltrowało moje urządzenie z Androidem?
Rafel był szczególnie rozpowszechniany pod przykrywką legalnego i nieszkodliwie wyglądającego oprogramowania. Źródła dystrybuujące go imitowały prawdziwe kanały/podmioty. Jednak trojan ten może być rozprzestrzeniany przy użyciu innych technik.
Powszechne metody dystrybucji złośliwego oprogramowania obejmują: wątpliwe źródła pobierania (np. witryny z darmowym oprogramowaniem i darmowymi hostingami plików, sieci udostępniania P2P, sklepy z aplikacjami innych firm itp.), pobieranie drive-by download, oszustwa internetowe, spam, złośliwe reklamy, pirackie treści, nielegalne narzędzia do aktywacji oprogramowania ("cracks") i fałszywe aktualizacje. Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner może wykryć i wyeliminować prawie wszystkie znane infekcje złośliwym oprogramowaniem. Pamiętaj, że wyrafinowane złośliwe oprogramowanie zwykle ukrywa się głęboko w systemach - dlatego wykonanie pełnego skanowania systemu jest niezbędne.
Znakomita!
▼ Pokaż dyskusję