Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Τραπεζικός Trojan Κακόβουλο λογισμικό RatOn για Android

Κακόβουλο λογισμικό RatOn για Android

Μέχρι το Favila το Τραπεζικός Trojan, Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:

Ένα νέο κακόβουλο λογισμικό για Android που ονομάζεται RatOn έχει εξελιχθεί γρήγορα από ένα απλό εργαλείο αναμετάδοσης επικοινωνίας κοντινού πεδίου (NFC) σε ένα εξελιγμένο trojan απομακρυσμένης πρόσβασης (RAT). Με τη λειτουργικότητα του Συστήματος Αυτοματοποιημένης Μεταφοράς (ATS), τις μονάδες επίθεσης επικάλυψης και τις λειτουργίες που μοιάζουν με ransomware, το RatOn αναδεικνύεται σε μια από τις πιο ευέλικτες απειλές που στοχεύουν κινητές συσκευές.

Ένας μοναδικός συνδυασμός διανυσμάτων επίθεσης

Το RatOn ξεχωρίζει επειδή συνδυάζει πολλαπλές κακόβουλες τεχνικές σε ένα πλαίσιο:

  • Επιθέσεις επικάλυψης για την κλοπή διαπιστευτηρίων.
  • Αυτόματες μεταφορές χρημάτων (ATS) για την εξάντληση τραπεζικών λογαριασμών.
  • Δυνατότητες αναμετάδοσης NFC μέσω της τεχνικής Ghost Tap.

Αυτός ο συνδυασμός καθιστά το RatOn εξαιρετικά επικίνδυνο σε σύγκριση με τα τυπικά τραπεζικά trojan Android.

Στόχοι: Εφαρμογές Τραπεζών και Κρυπτονομισμάτων

Το κακόβουλο λογισμικό έχει δημιουργηθεί με λειτουργίες κατάληψης λογαριασμού που στοχεύουν συγκεκριμένα εφαρμογές πορτοφολιών κρυπτονομισμάτων όπως MetaMask, Trust, Blockchain.com και Phantom. Επίσης, εκμεταλλεύεται το George Česko, μια τραπεζική εφαρμογή δημοφιλής στην Τσεχική Δημοκρατία, για την αυτοματοποίηση δόλιων μεταφορών.

Πέρα από την οικονομική κλοπή, το RatOn μπορεί να κλειδώσει συσκευές και να αναπτύξει ψεύτικες οθόνες λύτρων. Αυτές οι επικαλύψεις μιμούνται μηνύματα εκβιασμού, κατηγορώντας τα θύματα για προβολή ή διανομή παράνομου περιεχομένου και απαιτούν πληρωμή 200 δολαρίων σε κρυπτονομίσματα εντός δύο ωρών. Τέτοιες τακτικές εξαναγκασμού όχι μόνο πιέζουν τους χρήστες, αλλά δημιουργούν και ευκαιρίες για τους εισβολείς να υποκλέψουν κωδικούς PIN και να θέσουν σε κίνδυνο απευθείας εφαρμογές πορτοφολιού.

Ενεργητικές Τακτικές Ανάπτυξης και Διάδοσης

Το πρώτο δείγμα RatOn εμφανίστηκε στις 5 Ιουλίου 2025, με πρόσθετες εκδόσεις να παρατηρούνται μέχρι και τις 29 Αυγούστου 2025, υποδεικνύοντας συνεχή ανάπτυξη. Η διανομή βασίζεται σε ψεύτικες καταχωρίσεις στο Google Play Store που μιμούνται μια έκδοση του TikTok για ενήλικες (TikTok 18+). Αυτές οι εφαρμογές dropper εγκαθιστούν κακόβουλα φορτία ενώ ζητούν δικαιώματα για να παρακάμψουν τις διασφαλίσεις προσβασιμότητας της Google.

Μετά την εγκατάσταση, το RatOn κλιμακώνει τα δικαιώματα ζητώντας δικαιώματα διαχείρισης συσκευής, υπηρεσίες προσβασιμότητας και πρόσβαση σε επαφές και ρυθμίσεις συστήματος. Στη συνέχεια, ανακτά πρόσθετα στοιχεία κακόβουλου λογισμικού, συμπεριλαμβανομένου του προηγουμένως τεκμηριωμένου κακόβουλου λογισμικού NFSkate, το οποίο χειρίζεται επιθέσεις αναμετάδοσης NFC.

Προηγμένες δυνατότητες ανάληψης λογαριασμού

Το RatOn επιδεικνύει βαθιά κατανόηση των στόχων του. Μόλις ενεργοποιηθεί, μπορεί:

  • Ανοίξτε εφαρμογές κρυπτονομισμάτων και ξεκλειδώστε τες χρησιμοποιώντας κλεμμένα PIN.
  • Αλληλεπιδράστε με τις ρυθμίσεις ασφαλείας εντός εφαρμογής.
  • Εξαγωγή μυστικών φράσεων ανάκτησης.

Αυτά τα δεδομένα καταγράφονται μέσω ενός ενσωματωμένου keylogger και αποστέλλονται σε διακομιστές που ελέγχονται από εισβολείς, επιτρέποντας τον πλήρη έλεγχο των παραβιασμένων κρυπτονομισμάτων. Αξίζει να σημειωθεί ότι η βάση κώδικα του RatOn δεν παρουσιάζει καμία επικάλυψη με άλλες οικογένειες κακόβουλου λογισμικού για τραπεζικές εργασίες Android, γεγονός που υποδηλώνει ότι αναπτύχθηκε από την αρχή.

Υποστηριζόμενες εντολές και επιχειρήσεις

Το RatOn υποστηρίζει ένα ευρύ φάσμα εντολών που επιτρέπουν στους εισβολείς να χειραγωγούν εκτενώς τις μολυσμένες συσκευές. Μερικές από τις πιο αξιοσημείωτες περιλαμβάνουν:

  • send_push – παράδοση ψεύτικων ειδοποιήσεων push
  • app_inject – τροποποίηση της λίστας των στοχευμένων εφαρμογών
  • μεταφορά – εκτέλεση απάτης ATS μέσω George Česko
  • nfs – λήψη και εκτέλεση κακόβουλου λογισμικού NFSkate
  • screen_lock – τροποποίηση χρονικού ορίου κλειδώματος συσκευής
  • κλείδωμα – κλείδωμα της συσκευής από απόσταση
  • εγγραφή/εμφάνιση – έλεγχος περιόδων μετάδοσης οθόνης
  • send_sms – αποστολή μηνυμάτων SMS μέσω υπηρεσιών προσβασιμότητας
  • add_contact – δημιουργία νέων επαφών
  • update_device – εξαγωγή δακτυλικών αποτυπωμάτων συσκευής και λιστών εγκατεστημένων εφαρμογών

Περιφερειακή Εστίαση και Στρατηγική Απειλών

Οι ερευνητές σημειώνουν ότι η δραστηριότητα της RatOn επικεντρώνεται επί του παρόντος στην Τσεχική Δημοκρατία, με τη Σλοβακία να είναι πιθανό να είναι ο επόμενος στόχος. Η απόφαση να επικεντρωθεί σε μια ενιαία περιφερειακή τραπεζική εφαρμογή παραμένει ασαφής. Ωστόσο, οι αυτοματοποιημένες μεταφορές που απαιτούν τοπικούς αριθμούς λογαριασμών υποδηλώνουν συνεργασία με τοπικά δίκτυα money mule.

Τάσεις

Παραβίαση δεδομένων Salesloft

Τρωτό, Προηγμένη επίμονη απειλή (APT)
Μια μεγάλης κλίμακας κυβερνοεπίθεση έθεσε σε κίνδυνο την ενσωμάτωση της Salesloft με τον παράγοντα συνομιλίας Drift AI, επιτρέποντας σε χάκερ να κλέψουν OAuth και να ανανεώσουν τα διακριτικά. Ο απειλητικός παράγοντας, που παρακολουθείται ως UNC6395, εκμεταλλεύτηκε αυτά τα κλεμμένα διακριτικά για να παραβιάσει τα περιβάλλοντα πελατών της Salesforce. Οι ειδικοί ασφαλείας έχουν εντοπίσει πάνω από...

Ψεύτικη απάτη με ιστότοπο εφαρμογής Aave

Απατεώνες Ιστότοποι
Το Διαδίκτυο προσφέρει αμέτρητες ευκαιρίες, αλλά εκθέτει επίσης τους χρήστες σε έναν συνεχώς αυξανόμενο αριθμό απάτης. Οι κυβερνοεγκληματίες δημιουργούν συνεχώς δόλιες ιστοσελίδες που μιμούνται...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,330
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...