Оферта за отстъпка за множество лицензи
База данни за заплахи Банков троянски кон Зловреден софтуер RatOn за Android

Зловреден софтуер RatOn за Android

До Favila през Банков троянски кон, Мобилен зловреден софтуерг
Превод на:

Нов зловреден софтуер за Android, наречен RatOn, бързо се е развил от обикновен инструмент за релейна комуникация в близко поле (NFC) до сложен троянски кон за отдалечен достъп (RAT). Със своята функционалност за автоматизирана система за прехвърляне (ATS), модули за наслагване на атаки и функции, подобни на ransomware, RatOn се очертава като една от най-гъвкавите заплахи, насочени към мобилни устройства.

Уникална комбинация от вектори на атака

RatOn се откроява, защото обединява множество злонамерени техники в една рамка:

  • Наслагване на атаки за кражба на идентификационни данни.
  • Автоматизирани парични преводи (ATS) за източване на банкови сметки.
  • Възможности за NFC реле чрез техниката Ghost Tap.

Тази комбинация прави RatOn силно опасен в сравнение с типичните банкови троянци за Android.

Цели: Банкови и крипто приложения

Зловредният софтуер е изграден с функции за поглъщане на акаунти, насочени специално към приложения за криптовалутни портфейли като MetaMask, Trust, Blockchain.com и Phantom. Той също така използва George Česko, банково приложение, популярно в Чехия, за автоматизиране на измамни преводи.

Освен финансови кражби, RatOn може да заключва устройства и да използва фалшиви екрани за откуп. Тези наслагвания имитират съобщения за изнудване, обвинявайки жертвите в гледане или разпространение на незаконно съдържание и изисквайки плащане с криптовалута в размер на 200 долара в рамките на два часа. Подобни тактики на принуда не само оказват натиск върху потребителите, но и създават възможности за нападателите да улавят ПИН кодове и директно да компрометират приложения за портфейли.

Тактики за активно развитие и разпространение

Първият пример на RatOn се появи на 5 юли 2025 г., като допълнителни версии бяха наблюдавани чак до 29 август 2025 г., което показва продължаващо развитие. Разпространението разчита на фалшиви обяви в Google Play Store, които се представят за версия за възрастни на TikTok (TikTok 18+). Тези приложения за пускане инсталират злонамерени полезни товари, като същевременно изискват разрешения, за да заобиколят защитните мерки за достъпност на Google.

След инсталирането, RatOn повишава привилегиите, като изисква права за администриране на устройството, услуги за достъпност и достъп до контакти и системни настройки. След това извлича допълнителни компоненти на зловредния софтуер, включително документирания по-рано злонамерен софтуер NFSkate, който обработва NFC relay атаки.

Разширени възможности за поемане на управление на акаунти

RatOn демонстрира задълбочено разбиране на своите цели. След като е активен, той може:

  • Стартирайте приложения за криптовалута и ги отключвайте с помощта на откраднати ПИН кодове.
  • Взаимодействайте с настройките за сигурност в приложението.
  • Извлечете тайни фрази за възстановяване.

Тези данни се регистрират чрез вграден кейлогър и се изпращат до контролирани от нападателя сървъри, което позволява пълен контрол върху компрометираните крипто портфейли. Забележително е, че кодовата база на RatOn не показва припокриване с други семейства злонамерен софтуер за банкиране за Android, което предполага, че е разработен от нулата.

Поддържани команди и операции

RatOn поддържа широк набор от команди, които позволяват на атакуващите да манипулират заразените устройства в голяма степен. Някои от най-забележителните включват:

  • send_push – доставяне на фалшиви push известия
  • app_inject – промяна на списъка с целеви приложения
  • трансфер – извършване на ATS измама чрез George Česko
  • nfs – изтеглете и стартирайте зловредния софтуер NFSkate
  • screen_lock – промяна на времето за изчакване при заключване на устройството
  • заключване – заключване на устройството дистанционно
  • запис/показване – управление на сесии за предаване на екрана
  • send_sms – изпращане на SMS съобщения чрез услуги за достъпност
  • add_contact – създаване на нови контакти
  • update_device – извлича пръстови отпечатъци на устройството и списъци с инсталирани приложения

Регионален фокус и стратегия за заплашителни актьори

Изследователите отбелязват, че дейността на RatOn в момента е концентрирана в Чехия, като Словакия вероятно ще бъде следващата цел. Решението за фокусиране върху едно регионално банково приложение остава неясно. Автоматизираните преводи, изискващи локални номера на сметки, обаче предполагат сътрудничество с местни мрежи за „парични мулета“.

Тенденция

Нарушение на данните на Salesloft

Уязвимост, Усъвършенствана постоянна заплаха (APT)
Мащабна кибератака компрометира интеграцията на Salesloft с чат агента Drift AI, позволявайки на хакерите да откраднат OAuth и токени за обновяване. Злоумишленикът, проследен като UNC6395, е използвал тези откраднати токени, за да проникне в клиентските среди на Salesforce. Експерти по сигурността са идентифицирали над 700 организации като потенциално засегнати. Хронология на нарушението...

Измама с фалшив уебсайт на приложението Aave

Измамни уебсайтове
Интернет предлага безброй възможности, но също така излага потребителите на все по-голям брой измами. Киберпрестъпниците непрекъснато създават измамни уебсайтове, които имитират надеждни услуги, за...

Най-гледан

Зареждане...