Check Point Software Technologiesはこのほど、「Rafel RAT, Android Malware from Espionage to Ransomware Operations - Check Point Blog」において、Android向け遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「Rafel」に関する最新の調査結果を伝えた。Rafelは「APT-C-35」および「DoNot Team」と呼ばれる脅威アクターに利用されていることが判明した。

  • Rafel RAT、Android Malware from Espionage to Ransomware Operations - Check Point Blog

    Rafel RAT, Android Malware from Espionage to Ransomware Operations - Check Point Blog

Rafelが与えた影響

Check Pointはこれまでの調査でRafelのサンプルを複数収集し、約120台のコマンド&コントロール(C2: Command and Control)サーバを特定したという。被害者の分析結果として、国別、ベンダー別、Androidバージョン別の被害状況を公開している。

最も被害の多い国は米国で、これに中国、インドネシアが続いている。ベンダー別ではSamsung Electronicsが被害の大半を占め、これにXiaomi、Vivo、Huaweiが続く。

  • 国別の被害割合 - 引用:Check Point

    国別の被害割合 引用:Check Point

Androidバージョン別では、サポートを終了しているバージョン11より前のデバイスに被害者が集中(87%以上)していることが確認された。これはソフトウェアを最新版に維持することの重要性を示している。

  • バージョンごとの被害割合 - 引用:Check Point

    バージョンごとの被害割合 引用:Check Point

Check Pointは特定したC2サーバの中に、パキスタン政府のWebサイトが含まれていることを確認している。これは、脅威アクターがパキスタン政府のWebサイトを侵害し、C2サーバ用のソフトウェアを勝手にインストールしたものと推測されている。

  • パキスタン政府のWebサイト上で動作するRafelのC2 - 引用:Check Point

    パキスタン政府のWebサイト上で動作するRafelのC2 引用:Check Point

対策

Check PointはRafelのようなマルウェアの侵害を回避するため、Androidユーザーに次のような対策の実施を推奨している。

  • Androidアプリは公式のアプリストア「Google Play」からダウンロードする。他のサードパーティストアおよびWebサイトからはダウンロードしない
  • アプリをダウンロードする前に評判やダウンロード回数を確認する。評判の悪いアプリや、ダウンロード回数の少ないアプリには注意する
  • Androidを定期的にアップデートする。可能であれば自動更新を有効にする
  • Androidデバイスをサポートする評判のよいセキュリティソリューションを導入する

Androidは世界190カ国以上、39億人を超える人々に利用されている。モバイルデバイスの4分の3はAndroidで稼働しているとされ、スタンダードの地位を獲得している。しかしながら、利用者が多いデバイスや環境はサイバー犯罪者に狙われやすく、ユーザーには常に警戒することが求められる。

これまでにAndroidを標的とするマルウェアは数多く確認されており、公式アプリストアから配布された事例も確認されている。Androidユーザーにはこのような攻撃を回避するため、常に最新のセキュリティ情報を収集し、上記のような対策を実施することが望まれている。