Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Troià bancari Programari maliciós per a Android RatOn

Programari maliciós per a Android RatOn

El Favila el Troià bancari, Programari maliciós mòbil
Traduir a:

Un nou programari maliciós per a Android anomenat RatOn ha evolucionat ràpidament d'una simple eina de retransmissió de comunicació de camp proper (NFC) a un sofisticat troià d'accés remot (RAT). Amb la seva funcionalitat de sistema de transferència automatitzada (ATS), mòduls d'atac superposats i funcions similars al ransomware, RatOn s'està convertint en una de les amenaces més versàtils dirigides als dispositius mòbils.

Una combinació única de vectors d’atac

RatOn destaca perquè fusiona múltiples tècniques malicioses en un sol marc de treball:

  • Atacs de superposició per robar credencials.
  • Transferències automatitzades de diners (ATS) per buidar els comptes bancaris.
  • Capacitats de relé NFC mitjançant la tècnica Ghost Tap.

Aquesta combinació fa que RatOn sigui altament perillós en comparació amb els típics troians bancaris d'Android.

Objectius: Aplicacions bancàries i de criptomoneda

El programari maliciós està construït amb funcions de presa de control de comptes que s'adrecen específicament a aplicacions de moneders de criptomonedes com ara MetaMask, Trust, Blockchain.com i Phantom. També explota George Česko, una aplicació bancària popular a la República Txeca, per automatitzar transferències fraudulentes.

Més enllà del robatori financer, RatOn pot bloquejar dispositius i desplegar pantalles de rescat falses. Aquestes capes imiten missatges d'extorsió, acusant les víctimes de veure o distribuir contingut il·legal i exigeixen un pagament de criptomoneda de 200 dòlars en un termini de dues hores. Aquestes tàctiques de coacció no només pressionen els usuaris, sinó que també creen oportunitats perquè els atacants capturin codis PIN i comprometin directament les aplicacions de moneder.

Tàctiques de desenvolupament i difusió actives

El primer exemple de RatOn va aparèixer el 5 de juliol de 2025, i es van observar versions addicionals fins al 29 d'agost de 2025, cosa que indica un desenvolupament continu. La distribució es basa en fitxes falses de Google Play Store que suplanten una versió per a adults de TikTok (TikTok 18+). Aquestes aplicacions instal·len càrregues útils malicioses mentre sol·liciten permisos per eludir les garanties d'accessibilitat de Google.

Després de la instal·lació, RatOn augmenta els privilegis sol·licitant drets d'administració del dispositiu, serveis d'accessibilitat i accés als contactes i a la configuració del sistema. A continuació, obté components de programari maliciós addicionals, inclòs el programari maliciós NFSkate documentat anteriorment, que gestiona els atacs de retransmissió NFC.

Funcions avançades de presa de control de comptes

RatOn demostra un coneixement profund dels seus objectius. Un cop actiu, pot:

  • Inicieu aplicacions de criptomoneda i desbloquegeu-les amb PIN robats.
  • Interactuar amb la configuració de seguretat de l'aplicació.
  • Extreure frases secretes de recuperació.

Aquestes dades es registren mitjançant un keylogger integrat i s'envien a servidors controlats pels atacants, cosa que permet un control total sobre els moneders criptogràfics compromesos. Cal destacar que la base de codi de RatOn no mostra cap solapament amb altres famílies de programari maliciós bancari per a Android, cosa que suggereix que es va desenvolupar des de zero.

Comandes i operacions compatibles

RatOn admet una àmplia gamma d'ordres que permeten als atacants manipular àmpliament els dispositius infectats. Algunes de les més destacades inclouen:

  • send_push – envia notificacions push falses
  • app_inject – modifica la llista d'aplicacions de destinació
  • transferència : executar frau ATS a través de George Česko
  • nfs – descarrega i executa el programari maliciós NFSkate
  • screen_lock – modifica el temps d'espera de bloqueig del dispositiu
  • bloqueig : bloqueja el dispositiu de forma remota
  • enregistrar/visualitzar – controlar les sessions de transmissió de pantalla
  • send_sms – envia missatges SMS a través de serveis d'accessibilitat
  • add_contact – crea nous contactes
  • update_device – exfiltra les empremtes digitals del dispositiu i les llistes d'aplicacions instal·lades

Enfocament regional i estratègia d’actors amenaçadors

Els investigadors assenyalen que l'activitat de RatOn es concentra actualment a la República Txeca, i que probablement Eslovàquia serà el proper objectiu. La decisió de centrar-se en una única aplicació bancària regional encara no està clara. Tanmateix, les transferències automatitzades que requereixen números de compte locals suggereixen una cooperació amb xarxes locals de transferència de diners.

Tendència

Violació de dades de Salesloft

Vulnerabilitat, Amenaça persistent avançada (APT)
Un ciberatac a gran escala ha compromès la integració de Salesloft amb l'agent de xat Drift AI, permetent als pirates informàtics robar tokens d'OAuth i d'actualització. L'actor d'amenaces, rastrejat com a UNC6395, va explotar aquests tokens robats per violar els entorns dels clients de Salesforce. Els experts en seguretat han identificat més de 700 organitzacions com a potencialment afectades....

Més vist

Carregant...