针对安卓系统的勒索软件Rafel RAT正在传播 中国和美国用户都是受害重灾区

被攻击的安卓设备多数搭载的都是旧版 Android 系统，即利用旧版 Android 系统中未被修复的安全漏洞用来发起攻击，统计显示受害者中使用 Android 11 及更旧版本的用户占比超过 87.5%。

对黑客来说 Rafel RAT 的优势在于开源和可定制，该恶意软件可以根据需要进行定制并适配不同品牌的安卓设备进行针对性攻击，因此可以兼容不同 OEM 定制的安卓系统。

被感染的设备常见品牌包括三星、谷歌、小米、摩托罗拉、OnePlus、华为、vivo 等，不同黑客定制的版本权限也有区别，不过总体来说都是要求用户授予电池优化权限，让恶意软件可以在后台持续运行。

典型的 Rafel RAT 恶意软件具备如下功能：

• 勒索功能：在设备上启动文件加密过程，将用户资料等全部加密以勒索赎金

• wipe 命令：可以删除指定路径下的所有文件和文件夹

• 屏幕锁定：可以强行锁定设备屏幕阻止用户解锁和使用

• 短信功能：窃取用户收到的短信例如 2FA 验证码类

• 位置信息：可以开启定位功能收集用户的实时位置信息

Rafel RAT 的勒索功能采用黑客预设的 AES 密钥对文件进行加密，完成加密后再修改锁屏密码并添加自定义信息例如要求受害者通过 Telegram 联系黑客支付赎金以解锁设备。

如果用户尝试撤销 DeviceAdmin 权限则该恶意软件回立即修改屏幕密码并重新锁定屏幕，让用户始终无法正常解锁设备被迫支付赎金或清空整个设备。

对安卓设备来说实际要想实现 Windows PC 这样的勒索其实还是有些难度的，主要是通常情况下手机不会存储太多重要性数据，这种情况下用户可以直接清空设备，指望用户支付赎金估计难度比较大。

不过对一些用户来说微信这种应用的聊天记录和数据无法云同步，如果用户没有提前备份数据，那么清空手机就会导致所有数据丢失，这种情况下也会给用户造成影响。

目前谷歌已经接到 CheckPoint 的通报，谷歌通过 Google Play Protect 检测此类恶意软件并提供防御机制，避免用户安装夹杂 Rafel RAT 的应用程序。