Hoe verwijder je de Rafel remote access trojan van je Android-toestel
Geschreven door Tomas Meskauskas op
Wat voor soort malware is Rafel?
Rafel is een open-source Remote Access Trojan (RAT) die zich richt op Android-apparaten. Dit programma maakt controle op afstand mogelijk over geïnfecteerde machines. Rafel kan apparaten manipuleren, diefstal stelen en werken als ransomware.
Deze RAT is compatibel met Android-versies 5 tot en met 12 en is gebruikt om verschillende merken en modellen smartphones te infecteren. Rafel is gebruikt in meer dan 100 campagnes door verschillende bedreigingsactoren, waaronder de spionagegroep "DoNot Team" (APT-C-35). De malware is aangepast aan de behoeften van de aanvallers.
Rafel wordt wereldwijd gebruikt, met als meest getroffen regio's de VS, China, India en Indonesië. De trojan is ingezet tegen bekende organisaties en entiteiten die te maken hebben met het leger. Eén opmerkelijke aanval resulteerde in het succesvol hacken van een site van de Pakistaanse overheid.
Overzicht Rafel malware
Zoals vermeld in de inleiding, zijn er meerdere versies van Rafel. Hieronder volgt een overzicht van de meest voorkomende mogelijkheden van alle varianten. Meestal infiltreert deze trojan apparaten onder het mom van legitieme (of zo klinkende) toepassingen.
Rafel kan verschillende toestemmingen aanvragen bij slachtoffers of deze heimelijk verkrijgen (om geen argwaan te wekken door om irrelevante/invasieve toestemmingen te vragen). Nadat een apparaat succesvol is geïnfiltreerd en de benodigde rechten/machtigingen zijn verkregen, begint de remote access trojan met het verzamelen van basisgegevens over het apparaat.
De gerichte informatie omvat: specificaties van het apparaatmodel, hardwaredetails (bijv. hoeveelheid RAM), rootstatus, batterijgegevens (oplaadpercentage), taalinstellingen, operator, geolocatiegegevens, geïnstalleerde apps, enz. Rafel kan ook live de locatie van het apparaat volgen.
Versies van deze malware maken gebruik van antidetectie- en persistentiebeveiligingsmechanismen. De trojan kan bijvoorbeeld een legitieme applicatie imiteren, Google Play Protect omzeilen, worden vrijgesteld van de verplichting om te "slapen" om de batterij te optimaliseren, automatisch starten bij het opnieuw opstarten van het systeem, op de achtergrond actief zijn zelfs nadat de app is gesloten, enzovoort.
De RAT maakt ook misbruik van de Android-toegankelijkheidsdiensten. Deze zijn bedoeld als een extra hulpmiddel voor interactie met het apparaat voor gebruikers die dat nodig hebben. Toegankelijkheidsdiensten kunnen schermen lezen, het aanraakscherm simuleren, communiceren met het toetsenbord, enz. Daarom krijgt malware die gebruikmaakt van deze services hun volledige functionaliteit. Veel Android RAT's vertrouwen op Android Accessibility Services om apparaten te manipuleren.
Daarnaast kan Rafel bestanden exfiltreren en wissen, en het kan zelfs SD-geheugenkaarten wissen. De trojan kan voorkomen dat schermen dimmen/vergrendelen (wakelock), het apparaat laten trillen en tekst-naar-spraak opdrachten geven (d.w.z. berichten voorlezen aan slachtoffers).
De malware haalt contactlijsten en gesprekslogs op en kan deze laatste ook verwijderen. Rafel kan SMS-berichten verzamelen en versturen. Programma's die kunnen bellen of sms'en kunnen worden gebruikt als Toll Fraud malware, hoewel er geen bekende aanvallen zijn waarbij Rafel in deze hoedanigheid wordt gebruikt.
Een andere functionaliteit van deze RAT is het stelen van meldingen, en het is gebruikt om 2FA/MFA (Two/Multi-Factor Authentication) codes en OTP's (One-Time Passwords) te verkrijgen.
Bovendien kan Rafel werken als bestandsversleutelende en schermvergrendelende ransomware. Software die als zodanig is gecategoriseerd, versleutelt gegevens en/of vergrendelt het scherm van het apparaat om losgeld te eisen voor de ontsleuteling/toegangsherstel.
In bekende Rafel ransomware infecties werden bestanden versleuteld en apparaten ontoegankelijk gemaakt door het wachtwoord van het vergrendelscherm te wijzigen. De achtergronden van het startscherm en vergrendelscherm van het apparaat werden gewijzigd in een bericht waarin losgeld werd geëist. Het slachtoffer werd ook op de hoogte gebracht van de aanval via sms met een begeleidend trilcommando. Deze RAT zou echter een ander protocol kunnen volgen (bijv. slachtoffers waarschuwen via Discord melding, tekst-naar-spraak bericht, etc.).
Samengevat kan de aanwezigheid van malware zoals Rafel op apparaten leiden tot permanent gegevensverlies, ernstige privacyproblemen, aanzienlijke financiële verliezen en zelfs identiteitsdiefstal. Het is relevant om te vermelden dat aanvallen op zeer gevoelige doelen (zoals Rafel in het verleden) grotere risico's met zich meebrengen.
| Naam | Rafel trojaanse toegang op afstand |
| Type bedreiging | Android-malware, schadelijke toepassing, Trojaans paard voor externe toegang, hulpprogramma voor beheer op afstand, RAT. |
| Opsporingsnamen | Avast-Mobile (Android:Evo-gen [Trj]), DrWeb (Android.Backdoor.828.origin), ESET-NOD32 (Een variant van Android/Agent.CIT), Kaspersky (HEUR:Trojan-Ransom.AndroidOS.Agent.ak), Volledige lijst (VirusTotal) |
| Symptomen | Trojaanse paarden zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en zich stil te houden, waardoor er geen noemenswaardige symptomen zichtbaar zijn op een geïnfecteerde machine. Het apparaat kan echter traag worden, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker en het gegevens- en batterijverbruik wordt verhoogd. |
| Distributiemethoden | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, misleidende toepassingen, scamwebsites. |
| Schade | Gestolen persoonlijke informatie (privéberichten, logins/wachtwoorden, etc.), verminderde apparaatprestaties, de batterij is snel leeg, verminderde internetsnelheid, enorm gegevensverlies, geldverlies, gestolen identiteit (kwaadwillende apps kunnen misbruik maken van communicatie-apps). |
| Malware verwijderen (Android) | Om mogelijke malware-infecties te verwijderen, scant u uw mobiel apparaat met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Remote access trojan voorbeelden
Brokewell, Joker, VajraSpy, en Rusty Droid zijn slechts enkele van onze laatste artikelen over RAT's die zich richten op Android-apparaten. Trojaanse paarden voor toegang op afstand kunnen ongelooflijk multifunctioneel en veelzijdig zijn. Toch brengt zelfs malware met bijzonder beperkte mogelijkheden de integriteit van het systeem en de veiligheid van de gebruiker in gevaar.
Daarom moet een kwaadaardig programma, ongeacht hoe het werkt, onmiddellijk na ontdekking worden geëlimineerd.
Hoe heeft Rafel mijn apparaat geïnfiltreerd?
Rafel wordt gedistribueerd via dubieuze bronnen die legitieme entiteiten nabootsen. De malware heeft verschillende vermommingen, waaronder social media-apps (Instagram), messengers (WhatsApp), e-commerceplatforms, software voor serviceondersteuning en antivirustools.
Er moet echter worden vermeld dat deze RAT kan worden verspreid door gebruik te maken van verschillende methoden. Phishing en social engineering komen veel voor bij de verspreiding van malware. Kwaadaardige software wordt vaak vermomd als of gebundeld met reguliere inhoud.
De meest wijdverspreide verspreidingstechnieken zijn onder andere: onbetrouwbare downloadkanalen (bijv. freeware en gratis bestandshostingsites, P2P sharing netwerken, app stores van derden, etc.), drive-by (stiekeme/bedrieglijke) downloads, illegale programma's/media, schadelijke bijlagen/links in spam (bijv, e-mails, sms'jes, PM's/DM's, berichten op sociale media, enz.), online zwendel, malvertising, illegale softwareactiveringstools ("cracks") en valse updates.
Bovendien kunnen sommige kwaadaardige programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).
Het is opmerkelijk dat malware gehost kan worden door echte downloadbronnen (bijv. Google Play Store, enz.) Hoewel de levensduur op dergelijke platforms meestal kort is (de malware wordt snel gemarkeerd en verwijderd), kunnen cybercriminelen het winstgevend genoeg vinden.
Hoe vermijd je de installatie van malware?
We raden ten zeerste aan om software te onderzoeken door de voorwaarden en beoordelingen van gebruikers/experts te lezen, de nodige toestemmingen te controleren, de legitimiteit van de ontwikkelaar te verifiëren, enz. Bovendien moeten alle downloads worden uitgevoerd via officiële en geverifieerde kanalen.
Een andere aanbeveling is om programma's te activeren en bij te werken met legitieme functies/tools, omdat programma's van derden malware kunnen bevatten.
We raden aan om waakzaam te zijn tijdens het surfen omdat valse en kwaadaardige online inhoud meestal legitiem en onschuldig lijkt. Inkomende e-mails en andere berichten moeten met voorzichtigheid worden benaderd. Bijlagen of links in verdachte/irrelevante e-mails mogen niet worden geopend, omdat ze besmettelijk kunnen zijn.
We moeten benadrukken hoe belangrijk het is om een betrouwbare antivirus te installeren en up-to-date te houden. Beveiligingssoftware moet worden gebruikt om regelmatig systeemscans uit te voeren en om gedetecteerde bedreigingen en problemen te verwijderen.
Vermommingen gedragen door Rafel RAT en gevraagde toestemmingen (bron afbeelding - Check Point):
Snelmenu:
- Inleiding
- Hoe verwijder je de browsegeschiedenis uit de Chrome-webbrowser?
- Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
- Hoe de Chrome-webbrowser opnieuw instellen?
- Hoe verwijder ik browsegeschiedenis uit de Firefox-webbrowser?
- Hoe meldingen in Firefox uitschakelen?
- Hoe de webbrowser Firefox opnieuw instellen?
- Hoe verwijder ik mogelijk ongewenste en/of schadelijke toepassingen?
- Hoe het Android-apparaat opstarten in "Veilige modus"?
- Hoe het batterijverbruik van verschillende applicaties controleren?
- Hoe het gegevensgebruik van verschillende applicaties controleren?
- Hoe installeer ik de nieuwste software-updates?
- Hoe reset ik het systeem naar de standaardstatus?
- Hoe applicaties met beheerdersrechten uitschakelen?
Browsegeschiedenis verwijderen uit de Chrome-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Tik op "Browsinggegevens wissen", selecteer het tabblad "Geavanceerd", kies het tijdsbereik en de gegevenstypen die u wilt wissen en tik op "Gegevens wissen".
Schakel de browsermeldingen in de Chrome-webbrowser uit:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je de optie "Site settings" ziet en tik erop. Scroll naar beneden totdat je de optie "Meldingen" ziet en tik erop.
Zoek de websites die browsermeldingen geven, tik erop en klik op "Wissen & resetten". Hierdoor worden de toestemmingen voor deze websites om meldingen te geven verwijderd. Als je dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. Je kunt kiezen of je deze toestemming wilt geven of niet (als je weigert, gaat de website naar de sectie "Blokkeerd" en wordt er niet meer om toestemming gevraagd).
Reset de Chrome-webbrowser:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Storage".
Tik op "BESTAND BEWAREN", vervolgens op "AlLE GEGEVENS SCHOONMAKEN" en bevestig de actie door op "OK" te tikken. Door de browser te resetten, worden alle opgeslagen gegevens verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsergeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Browsegeschiedenis verwijderen uit de Firefox-webbrowser:
Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.
Scroll naar beneden totdat je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "GEGEVENS WISSEN".
Schakel de browsermeldingen in de Firefox-webbrowser uit:
Bezoek de website die browsermeldingen geeft, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "Lock" te zijn) en selecteer "Edit Site Settings".
Kies in de geopende pop-up de optie "Notifications" en tik op "CLEAR".
Reset de webbrowser Firefox:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je de applicatie "Firefox" vindt, selecteer deze en tik op de optie "opslag".
Tik op "GEGEVENS VERWIJDEREN" en bevestig de actie door op "DELETE" te tikken. Merk op dat het resetten van de browser alle gegevens verwijdert die erin zijn opgeslagen. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens worden verwijderd. Je zult ook opnieuw moeten inloggen op alle websites.
Verwijder mogelijk ongewenste en/of schadelijke toepassingen:
Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.
Scroll naar beneden totdat je een mogelijk ongewenste en/of schadelijke toepassing ziet, selecteer deze en tik op "Uninstall". Als het om de een of andere reden niet lukt om de geselecteerde applicatie te verwijderen (je krijgt bijvoorbeeld een foutmelding), moet je de "Veilige modus" proberen.
Start het Android-apparaat op in "Veilige modus":
De "Safe Mode" in het Android besturingssysteem schakelt tijdelijk alle toepassingen van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die gebruikers verhinderen om dit te doen wanneer het apparaat "normaal" draait).
Druk op de knop "Power" en houd deze ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Aan/uit" en houd het ingedrukt. Na een paar seconden verschijnt de optie "Veilige modus" en kun je deze starten door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat je "Apparaatonderhoud" ziet en tik erop.
Tik op "Batterij" en controleer het gebruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo weinig mogelijk energie te gebruiken om de beste gebruikerservaring te bieden en stroom te besparen. Daarom kan een hoog batterijgebruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het gegevensgebruik van verschillende applicaties:
Ga naar "Instellingen", scroll naar beneden totdat je "Connecties" ziet en tik erop.
Scroll naar beneden totdat je "Gegevensgebruik" ziet en selecteer deze optie. Net als bij batterijen zijn legitieme/originele toepassingen ontworpen om het gegevensgebruik zo laag mogelijk te houden. Dit betekent dat een enorm dataverbruik kan duiden op de aanwezigheid van een schadelijke applicatie. Merk op dat sommige schadelijke toepassingen ontworpen kunnen zijn om alleen te werken wanneer het apparaat verbonden is met een draadloos netwerk. Daarom moet je zowel het mobiele als Wi-Fi-gegevensverbruik controleren.
Als je een toepassing vindt die veel gegevens gebruikt, ook al gebruik je die nooit, dan raden we je aan om die zo snel mogelijk te verwijderen.
Installeer de nieuwste software-updates:
De software up-to-date houden is een goede gewoonte als het gaat om de veiligheid van apparaten. Fabrikanten brengen voortdurend beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder en daarom moet je er altijd voor zorgen dat de software van je apparaat up-to-date is.
Ga naar "Instellingen", scroll naar beneden totdat je "Software-update" ziet en tik erop.
Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden je ook aan om de optie "Updates automatisch downloaden" in te schakelen, zodat het systeem je een melding geeft zodra er een update beschikbaar is en/of deze automatisch installeert.
Zet het systeem terug naar de standaardstatus:
Het uitvoeren van een "Factory Reset" is een goede manier om alle ongewenste toepassingen te verwijderen, de standaardinstellingen van het systeem te herstellen en het apparaat in het algemeen schoon te maken. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggebracht naar zijn oorspronkelijke staat.
Je kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.
Ga naar "Instellingen", scroll naar beneden totdat je "Over telefoon" ziet en tik erop.
Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - alle systeeminstellingen herstellen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - alle netwerkgerelateerde instellingen herstellen naar de standaardinstellingen;
"Fabrieksgegevens resetten" - het hele systeem resetten en alle opgeslagen gegevens volledig wissen;
Schakel applicaties met beheerdersrechten uit:
Als een kwaadwillende applicatie beheerdersrechten krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet je altijd controleren welke apps dergelijke rechten hebben en de apps uitschakelen die dat niet zouden moeten hebben.
Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelingsscherm en beveiliging" ziet en tik erop.
Scroll naar beneden totdat je "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apps voor apparaatbeheer".
Zoek toepassingen die geen beheerdersrechten mogen hebben, tik erop en tik vervolgens op "DEACTIVATE".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met Rafel-malware. Moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Voor het verwijderen van malware is formatteren zelden nodig.
Wat zijn de grootste problemen die Rafel malware kan veroorzaken?
De gevaren die gepaard gaan met een infectie hangen af van de functionaliteiten van de malware en de modus operandi van de cybercriminelen. Rafel is een RAT - een trojan die externe toegang tot/controle over apparaten mogelijk maakt. Het is ook in staat om gevoelige informatie te stelen en werkt als ransomware.
Dit soort infecties kan leiden tot gegevensverlies, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal. Rafel is ingezet tegen high-profile organisaties en entiteiten die gerelateerd zijn aan het leger - dergelijke aanvallen kunnen een grotere bedreiging vormen.
Wat is het doel van Rafel-malware?
Malware wordt voornamelijk gebruikt voor winst en Rafel is gebruikt in dergelijke aanvallen. Echter, zoals vermeld in het antwoord hierboven, is deze trojan gebruikt in infecties met politieke/geopolitieke motivaties.
Naast financieel gewin en aanvallen om ideologische/internationale redenen, wordt malware gebruikt om aanvallers te amuseren, persoonlijke vendetta's uit te voeren, processen te verstoren (bijv. websites, diensten, bedrijven, enz.) en aan hacktivisme te doen.
Hoe is Rafel-malware mijn Android-apparaat binnengedrongen?
Rafel is met name verspreid onder het mom van legitieme en onschuldig uitziende software. De bronnen die het verspreiden imiteerden echte kanalen/entiteiten. Deze trojan kan echter worden verspreid door gebruik te maken van andere technieken.
Wijdverspreide malwareverspreidingsmethoden zijn onder andere: dubieuze downloadbronnen (bijv. freeware en gratis bestandshostingsites, P2P-sharingnetwerken, app-winkels van derden, enz.), drive-by downloads, online oplichting, spammail, malvertising, illegale inhoud, illegale softwareactiveringstools ("cracks") en nepupdates. Bovendien kunnen sommige schadelijke programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan bijna alle bekende malware-infecties detecteren en elimineren. Onthoud dat geavanceerde kwaadaardige software zich meestal diep in systemen verstopt - daarom is het uitvoeren van een volledige systeemscan essentieel.
Uitmuntend!
▼ Toon discussie