網路安全公司CheckPoint 的研究團隊日前發布報告披露名為Rafel RAT 的勒索軟體，嚴格來說這並不是勒索軟體而是個開源的針對安卓系統的惡意軟體，但其內建勒索軟體相關功能可以鎖定用戶設備上的文件。

被攻擊的安卓裝置多數搭載的都是舊版Android 系統，也就是利用舊版Android 系統中未被修復的安全漏洞用來發動攻擊，統計顯示受害者中使用Android 11 及較舊版本的使用者佔比超過87.5% 。

對駭客來說Rafel RAT 的優勢在於開源和可定制，該惡意軟體可以根據需要進行定制並適配不同品牌的安卓設備進行針對性攻擊，因此可以兼容不同OEM 定制的安卓系統。

受感染的設備常見品牌包括三星、Google、小米、摩托羅拉、OnePlus、華為、vivo 等，不同駭客定制的版本權限也有區別，不過總體來說都是要求用戶授予電池優化權限，讓惡意軟體可以在後台持續運行。

典型的Rafel RAT 惡意軟體具備以下功能：

• 勒索功能：在裝置上啟動文件加密過程，將使用者資料等全部加密以勒索贖金
• wipe 指令：可以刪除指定路徑下的所有檔案和資料夾
• 螢幕鎖定：可強行鎖定裝置螢幕阻止使用者解鎖和使用
• 簡訊功能：竊取用戶收到的簡訊例如2FA 驗證碼類
• 位置資訊：可開啟定位功能收集使用者的即時位置資訊

Rafel RAT 的勒索功能採用駭客預設的AES 金鑰對檔案進行加密，完成加密後再修改鎖定螢幕密碼並添加自訂資訊例如要求受害者透過Telegram 聯繫駭客支付贖金以解鎖裝置。

如果使用者嘗試撤銷DeviceAdmin 權限則該惡意軟體回立即修改螢幕密碼並重新鎖定螢幕，讓使用者始終無法正常解鎖裝置被迫支付贖金或清空整個裝置。

對安卓設備來說實際上要想實現Windows PC 這樣的勒索其實還是有些難度的，主要是通常情況下手機不會存儲太多重要性數據，這種情況下用戶可以直接清空設備，指望用戶支付贖金估計難度比較大。

不過對某些用戶來說微信這種應用的聊天記錄和數據無法雲端同步，如果用戶沒有提前備份數據，那麼清空手機就會導致所有數據遺失，這種情況下也會對用戶造成影響。

目前Google已經接到CheckPoint 的通報，Google透過Google Play Protect 偵測此類惡意軟體並提供防禦機制，避免使用者安裝夾雜Rafel RAT 的應用程式。