RatOn Android-haittaohjelma
Uusi Android-haittaohjelma nimeltä RatOn on nopeasti kehittynyt yksinkertaisesta Near Field Communication (NFC) -välitystyökalusta hienostuneeksi etäkäyttötroijalaiseksi (RAT). Automated Transfer System (ATS) -toimintojensa, päällekkäishyökkäysmoduuliensa ja kiristysohjelmien kaltaisten ominaisuuksiensa ansiosta RatOnista on tulossa yksi monipuolisimmista mobiililaitteisiin kohdistuvista uhkista.
Sisällysluettelo
Ainutlaatuinen hyökkäysvektorien yhdistelmä
RatOn erottuu joukosta, koska se yhdistää useita haitallisia tekniikoita yhdeksi kehykseksi:
- Peittokuvahyökkäykset tunnistetietojen varastamiseksi.
- Automatisoidut rahansiirrot (ATS) pankkitileille.
- NFC-välitysominaisuudet Ghost Tap -tekniikan avulla.
Tämä yhdistelmä tekee RatOnista erittäin vaarallisen verrattuna tyypillisiin Android-pankkitroijalaisiin.
Kohteet: Pankki- ja kryptosovellukset
Haittaohjelma on rakennettu tilin kaappaustoiminnoilla, jotka kohdistuvat erityisesti kryptovaluuttalompakkosovelluksiin, kuten MetaMask, Trust, Blockchain.com ja Phantom. Se hyödyntää myös Tšekin tasavallassa suosittua George Česko -pankkisovellusta vilpillisten siirtojen automatisointiin.
Taloudellisten varkauksien lisäksi RatOn voi lukita laitteita ja ottaa käyttöön väärennettyjä lunnasnäyttöjä. Nämä päällekkäisnäytöt matkivat kiristysviestejä, syyttävät uhreja laittoman sisällön katselusta tai levittämisestä ja vaativat 200 dollarin kryptovaluutan maksun kahden tunnin kuluessa. Tällaiset pakottamistaktiikat eivät ainoastaan painosta käyttäjiä, vaan myös luovat hyökkääjille mahdollisuuksia kaapata PIN-koodeja ja murtautua suoraan lompakko-sovelluksiin.
Aktiivinen kehitys ja taktiikoiden levittäminen
Ensimmäinen RatOn-näyteversio ilmestyi 5. heinäkuuta 2025, ja lisää versioita havaittiin vielä 29. elokuuta 2025, mikä viittaa jatkuvaan kehitykseen. Jakelu perustuu väärennettyihin Google Play Kaupan listauksiin, jotka jäljittelevät TikTokin aikuisille suunnattua versiota (TikTok 18+). Nämä dropper-sovellukset asentavat haitallisia hyötykuormia pyytäessään lupia ohittaa Googlen esteettömyyssuojaukset.
Asennuksen jälkeen RatOn laajentaa käyttöoikeuksia pyytämällä laitteen hallintaoikeuksia, esteettömyyspalveluita sekä pääsyä yhteystietoihin ja järjestelmäasetuksiin. Sitten se hakee lisää haittaohjelmakomponentteja, mukaan lukien aiemmin dokumentoidun NFSkate-haittaohjelman, joka käsittelee NFC-välityshyökkäyksiä.
Edistyneet tilin haltuunottoominaisuudet
RatOn osoittaa syvällistä ymmärrystä kohteistaan. Kun se on aktiivinen, se voi:
- Käynnistä kryptovaluuttasovelluksia ja avaa ne varastetuilla PIN-koodeilla.
- Vuorovaikuta sovelluksen sisäisten suojausasetusten kanssa.
- Poimi salaisia palautuslausekkeita.
Sisäänrakennettu näppäinpainallusten tallennin tallentaa tiedot ja lähettää ne hyökkääjän hallitsemille palvelimille, mikä mahdollistaa täyden hallinnan vaarantuneisiin kryptolompakoihin. Huomionarvoista on, että RatOnin koodikannassa ei ole päällekkäisyyksiä muiden Android-pankkitoiminnan haittaohjelmaperheiden kanssa, mikä viittaa siihen, että se kehitettiin tyhjästä.
Tuetut komennot ja toiminnot
RatOn tukee laajaa valikoimaa komentoja, joiden avulla hyökkääjät voivat manipuloida tartunnan saaneita laitteita laajasti. Joitakin merkittävimpiä ovat:
- send_push – lähetä väärennettyjä push-ilmoituksia
- app_inject – muokkaa kohdennettujen sovellusten luetteloa
- siirto – suorita ATS-petos George Českon kautta
- nfs – lataa ja suorita NFSkate-haittaohjelma
- screen_lock – muuttaa laitteen lukituksen aikakatkaisua
- lukitus – lukitse laite etänä
- tallennus/näyttö – näytön lähetysistuntojen hallinta
- send_sms – lähetä tekstiviestejä esteettömyyspalveluiden kautta
- add_contact – luo uusia yhteystietoja
- update_device – poistaa laitteen sormenjäljet ja asennettujen sovellusten luettelot
Alueellinen keskittyminen ja uhkatoimijastrategia
Tutkijat huomauttavat, että RatOnin toiminta keskittyy tällä hetkellä Tšekin tasavaltaan, ja seuraava kohde on todennäköisesti Slovakia. Päätös keskittyä yhteen alueelliseen pankkisovellukseen on edelleen epäselvä. Paikallisia tilinumeroita vaativat automatisoidut siirrot viittaavat kuitenkin yhteistyöhön paikallisten rahansiirtoverkostojen kanssa.
