RatOn Androidi pahavara
Uus Androidi pahavara nimega RatOn on kiiresti arenenud lihtsast lähiväljaside (NFC) edastusvahendist keerukaks kaugjuurdepääsu troojaks (RAT). Oma automatiseeritud edastussüsteemi (ATS) funktsionaalsuse, rünnakumoodulite ja lunavaralaadsete funktsioonidega on RatOnist saamas üks mitmekülgsemaid mobiilseadmeid sihtivaid ohte.
Sisukord
Rünnakuvektorite ainulaadne kombinatsioon
RatOn paistab silma selle poolest, et see ühendab mitu pahatahtlikku tehnikat ühte raamistikku:
- Ülekatterünnakud volituste varastamiseks.
- Automatiseeritud rahaülekanded (ATS) pangakontode tühjendamiseks.
- NFC-edastusvõimalused Ghost Tap tehnika abil.
See kombinatsioon muudab RatOni tüüpiliste Androidi pangandustroojalastega võrreldes väga ohtlikuks.
Sihtmärgid: Pangandus- ja krüptorakendused
Pahavara on loodud kontode ülevõtmise funktsioonidega, mis on spetsiaalselt suunatud krüptovaluuta rahakotirakendustele nagu MetaMask, Trust, Blockchain.com ja Phantom. See kasutab petturlike ülekannete automatiseerimiseks ka Tšehhi Vabariigis populaarset pangandusrakendust George Česko.
Lisaks finantsvargustele saab RatOn lukustada seadmeid ja kasutada võltsitud lunarahaekraane. Need ekraanid matkivad väljapressimissõnumeid, süüdistades ohvreid ebaseadusliku sisu vaatamises või levitamises ning nõudes kahe tunni jooksul 200 dollari suurust krüptovaluuta makset. Selline sundimistaktika mitte ainult ei avalda kasutajatele survet, vaid loob ründajatele ka võimalusi PIN-koodide haaramiseks ja rahakotirakenduste otseseks rikkumiseks.
Aktiivne arendus ja levitamise taktika
Esimene RatOn'i näidis ilmus 5. juulil 2025, täiendavaid versioone täheldati veel 29. augustil 2025, mis viitab jätkuvale arendusele. Levitamine tugineb võltsitud Google Play poe kirjetele, mis jäljendavad TikToki täiskasvanutele mõeldud versiooni (TikTok 18+). Need dropper-rakendused installivad pahatahtlikke koormusi, taotledes samal ajal lube Google'i ligipääsetavuse kaitsemeetmete möödahiilimiseks.
Pärast installimist laiendab RatOn õigusi, taotledes seadme administreerimisõigusi, ligipääsetavuse teenuseid ning juurdepääsu kontaktidele ja süsteemiseadetele. Seejärel hangib see täiendavaid pahavara komponente, sealhulgas varem dokumenteeritud NFSkate pahavara, mis tegeleb NFC-edastusrünnakutega.
Täiustatud konto ülevõtmise võimalused
RatOn näitab üles oma sihtmärkide sügavat mõistmist. Kui see on aktiivne, saab see:
- Käivitage krüptovaluutarakendusi ja avage need varastatud PIN-koodide abil.
- Suhtle rakendusesiseste turvaseadetega.
- Väljavõte salajastest taastumislausetest.
Need andmed logitakse sisseehitatud klahvilogija abil ja saadetakse ründaja kontrollitavatele serveritele, mis võimaldab täielikku kontrolli ohustatud krüptorahakottide üle. Tähelepanuväärne on see, et RatOni koodibaas ei kattu teiste Androidi panganduse pahavara perekondadega, mis viitab sellele, et see töötati välja nullist.
Toetatud käsud ja toimingud
RatOn toetab laia valikut käske, mis võimaldavad ründajatel nakatunud seadmeid ulatuslikult manipuleerida. Mõned tähelepanuväärsemad on järgmised:
- send_push – edastab võltsitud push-teateid
- app_inject – muudab sihtrakenduste loendit
- ülekanne – teostada ATS-pettus George Česko kaudu
- nfs – laadige alla ja käivitage NFSkate pahavara
- screen_lock – muudab seadme lukustuse ajalõppu
- lukusta – lukusta seade eemalt
- salvesta/kuva – ekraaniülekande seansside juhtimine
- send_sms – saada SMS-sõnumeid ligipääsetavuse teenuste kaudu
- add_contact – loo uusi kontakte
- update_device – eemaldab seadme sõrmejäljed ja installitud rakenduste loendid
Regionaalne fookus ja ohutegijate strateegia
Teadlased märgivad, et RatOni tegevus on praegu koondunud Tšehhi Vabariiki, järgmine sihtmärk on tõenäoliselt Slovakkia. Otsus keskenduda ühele piirkondlikule pangandusrakendusele on endiselt ebaselge. Kohalikke kontonumbreid nõudvad automatiseeritud ülekanded viitavad aga koostööle kohalike rahamuulade võrgustikega.
