بدافزار اندرویدی RatOn

یک بدافزار جدید اندرویدی به نام RatOn به سرعت از یک ابزار رله ارتباط نزدیک (NFC) ساده به یک تروجان دسترسی از راه دور (RAT) پیشرفته تکامل یافته است. RatOn با قابلیت سیستم انتقال خودکار (ATS)، ماژول‌های حمله همپوشانی و ویژگی‌های باج‌افزاری مانند خود، به عنوان یکی از متنوع‌ترین تهدیداتی که دستگاه‌های تلفن همراه را هدف قرار می‌دهد، در حال ظهور است.

ترکیبی منحصر به فرد از بردارهای حمله

RatOn به این دلیل برجسته است که چندین تکنیک مخرب را در یک چارچوب ادغام می‌کند:

• حملات همپوشانی برای سرقت اعتبارنامه‌ها.
• انتقال خودکار پول (ATS) برای تخلیه حساب‌های بانکی.
• قابلیت‌های رله NFC از طریق تکنیک Ghost Tap.

این ترکیب، RatOn را در مقایسه با تروجان‌های بانکی معمولی اندروید بسیار خطرناک می‌کند.

اهداف: بانکداری و اپلیکیشن‌های رمزنگاری‌شده

این بدافزار با توابع تصاحب حساب ساخته شده است که به طور خاص برنامه‌های کیف پول ارز دیجیتال مانند MetaMask، Trust، Blockchain.com و Phantom را هدف قرار می‌دهد. همچنین از George Česko، یک برنامه بانکی محبوب در جمهوری چک، برای خودکارسازی انتقال‌های جعلی سوءاستفاده می‌کند.

فراتر از سرقت مالی، RatOn می‌تواند دستگاه‌ها را قفل کرده و صفحات جعلی باج‌خواهی را نمایش دهد. این پوشش‌ها پیام‌های اخاذی را تقلید می‌کنند، قربانیان را به مشاهده یا توزیع محتوای غیرقانونی متهم می‌کنند و درخواست پرداخت ۲۰۰ دلار ارز دیجیتال ظرف دو ساعت را دارند. چنین تاکتیک‌های اجباری نه تنها کاربران را تحت فشار قرار می‌دهد، بلکه فرصت‌هایی را برای مهاجمان ایجاد می‌کند تا کدهای پین را ضبط کرده و مستقیماً برنامه‌های کیف پول را به خطر بیندازند.

تاکتیک‌های توسعه و گسترش فعال

اولین نمونه RatOn در ۵ جولای ۲۰۲۵ ظاهر شد و نسخه‌های دیگر آن تا ۲۹ آگوست ۲۰۲۵ مشاهده شدند که نشان دهنده توسعه مداوم آن است. توزیع آن به فهرست‌های جعلی فروشگاه گوگل پلی متکی است که نسخه بزرگسالان TikTok (TikTok 18+) را جعل می‌کنند. این برنامه‌های dropper، ضمن درخواست مجوز برای دور زدن حفاظت‌های دسترسی گوگل، payloadهای مخرب را نصب می‌کنند.

پس از نصب، RatOn با درخواست حقوق مدیریت دستگاه، سرویس‌های دسترسی و دسترسی به مخاطبین و تنظیمات سیستم، امتیازات را افزایش می‌دهد. سپس اجزای بدافزار اضافی، از جمله بدافزار NFSkate که قبلاً مستند شده است و حملات رله NFC را مدیریت می‌کند، را دریافت می‌کند.

قابلیت‌های پیشرفته تصاحب حساب

RatOn درک عمیقی از اهداف خود نشان می‌دهد. پس از فعال شدن، می‌تواند:

• برنامه‌های ارز دیجیتال را اجرا کنید و با استفاده از پین‌های دزدیده شده، قفل آنها را باز کنید.
• با تنظیمات امنیتی درون برنامه تعامل داشته باشید.
• استخراج عبارات بازیابی مخفی.

این داده‌ها از طریق یک کی‌لاگر داخلی ثبت شده و به سرورهای تحت کنترل مهاجم ارسال می‌شوند و امکان کنترل کامل کیف پول‌های رمزنگاری‌شده را فراهم می‌کنند. نکته قابل توجه این است که کدبیس RatOn هیچ همپوشانی با سایر خانواده‌های بدافزار بانکی اندروید نشان نمی‌دهد، که نشان می‌دهد از ابتدا توسعه داده شده است.

دستورات و عملیات پشتیبانی شده

RatOn از طیف گسترده‌ای از دستورات پشتیبانی می‌کند که به مهاجمان اجازه می‌دهد دستگاه‌های آلوده را به طور گسترده دستکاری کنند. برخی از قابل توجه‌ترین آنها عبارتند از:

• send_push – ارسال پوش نوتیفیکیشن‌های جعلی
• app_inject - لیست برنامه‌های هدف را تغییر می‌دهد
• انتقال - کلاهبرداری ATS را از طریق جورج چسکو انجام دهید
• nfs - بدافزار NFSkate را دانلود و اجرا کنید
• screen_lock – تغییر زمان قفل دستگاه
• قفل - دستگاه را از راه دور قفل کنید
• ضبط/نمایش - کنترل جلسات پخش صفحه نمایش
• send_sms - ارسال پیامک از طریق سرویس‌های دسترسی
• add_contact – ایجاد مخاطبین جدید
• update_device – استخراج اثر انگشت دستگاه و لیست برنامه‌های نصب شده

تمرکز منطقه‌ای و استراتژی بازیگران تهدید

محققان خاطرنشان می‌کنند که فعالیت RatOn در حال حاضر در جمهوری چک متمرکز است و احتمالاً اسلواکی هدف بعدی خواهد بود. تصمیم برای تمرکز بر یک برنامه بانکی منطقه‌ای واحد هنوز مشخص نیست. با این حال، انتقال‌های خودکار که به شماره حساب‌های محلی نیاز دارند، نشان‌دهنده همکاری با شبکه‌های محلی پولشویی است.