תוכנה זדונית לאנדרואיד של RatOn

נוזקה חדשה לאנדרואיד בשם RatOn התפתחה במהירות מכלי ממסר פשוט של תקשורת שדה קרוב (NFC) לטרויאני גישה מרחוק מתוחכם (RAT). עם פונקציונליות מערכת ההעברה האוטומטית (ATS), מודולי התקפה שכבת-על ותכונות דמויות תוכנות כופר, RatOn מתגלה כאחד האיומים הרב-תכליתיים ביותר המכוונים למכשירים ניידים.

שילוב ייחודי של וקטורי התקפה

RatOn בולטת משום שהיא משלבת מספר טכניקות זדוניות למסגרת אחת:

• התקפות שכבת- על לגניבת אישורים.
• העברות כספים אוטומטיות (ATS) לריקון חשבונות בנק.
• יכולות ממסר NFC באמצעות טכניקת Ghost Tap.

שילוב זה הופך את RatOn למסוכן ביותר בהשוואה לטרויאנים טיפוסיים לבנקאות באנדרואיד.

מטרות: אפליקציות בנקאות וקריפטו

הנוזקה בנויה עם פונקציות השתלטות על חשבונות המכוונות ספציפית לאפליקציות ארנקי קריפטוגרפיות כמו MetaMask, Trust, Blockchain.com ו-Phantom. היא גם מנצלת את George Česko, אפליקציית בנקאות פופולרית בצ'כיה, כדי להפוך העברות הונאה לאוטומטיות.

מעבר לגניבה פיננסית, RatOn יכולה לנעול מכשירים ולפרוס מסכי כופר מזויפים. שכבות אלו מחקות הודעות סחיטה, מאשימות קורבנות בצפייה או הפצה של תוכן לא חוקי, ודורשות תשלום של 200 דולר במטבעות קריפטוגרפיים תוך שעתיים. טקטיקות כפייה כאלה לא רק מפעילות לחץ על המשתמשים, אלא גם יוצרות הזדמנויות לתוקפים ללכוד קודי PIN ולפרוץ ישירות לאפליקציות ארנק.

טקטיקות פיתוח פעיל והפצה

הדוגמה הראשונה של RatOn הופיעה ב-5 ביולי 2025, עם גרסאות נוספות שנצפו עד ה-29 באוגוסט 2025, דבר המצביע על פיתוח מתמשך. ההפצה מסתמכת על רישומים מזויפים בחנות Google Play המתחזים לגרסה למבוגרים של TikTok (TikTok 18+). אפליקציות אלו מתקינות מטענים זדוניים תוך בקשת הרשאות לעקוף את אמצעי ההגנה על הנגישות של גוגל.

לאחר ההתקנה, RatOn מגביר את ההרשאות על ידי בקשת הרשאות ניהול מכשירים, שירותי נגישות וגישה לאנשי קשר והגדרות מערכת. לאחר מכן, הוא מאחזר רכיבי זדוני נוספים, כולל נוזקת NFSkate שתועדה בעבר, המטפלת בהתקפות ממסר NFC.

יכולות מתקדמות של השתלטות על חשבון

RatOn מדגים הבנה עמוקה של מטרותיו. לאחר פעילותו, הוא יכול:

• הפעל אפליקציות מטבעות קריפטוגרפיים ובטל את נעילתן באמצעות מספרי סודיות גנובים.
• אינטראקציה עם הגדרות אבטחה בתוך האפליקציה.
• חילוץ ביטויי התאוששות סודיים.

נתונים אלה נרשמים באמצעות לוגר keylogger מובנה ונשלחים לשרתים הנשלטים על ידי התוקפים, מה שמאפשר שליטה מלאה על ארנקי קריפטו שנפגעו. ראוי לציין כי בסיס הקוד של RatOn אינו מראה חפיפה עם משפחות תוכנות זדוניות אחרות לבנקאות אנדרואיד, דבר המצביע על כך שהוא פותח מאפס.

פקודות ופעולות נתמכות

RatOn תומך במגוון רחב של פקודות המאפשרות לתוקפים לתפעל מכשירים נגועים באופן נרחב. כמה מהבולטות ביותר כוללות:

• send_push – העברת התראות דחיפה מזויפות
• app_inject – שינוי רשימת האפליקציות הממוקדות
• העברה - ביצוע הונאה של ATS באמצעות George Česko
• nfs – הורד והפעל את תוכנת הזדוני NFSkate
• נעילת_מסך – שינוי זמן קצוב לנעילת המכשיר
• נעילה – נעילת המכשיר מרחוק
• הקלטה/הצגה – שליטה על סשנים של שידור מסך
• send_sms – שליחת הודעות SMS דרך שירותי נגישות
• הוסף_קשר – צור אנשי קשר חדשים
• update_device – סינון טביעות אצבע של המכשיר ורשימות אפליקציות מותקנות

מיקוד אזורי ואסטרטגיית גורמי איום

חוקרים מציינים כי פעילות RatOn מרוכזת כיום בצ'כיה, כאשר סלובקיה צפויה להיות היעד הבא. ההחלטה להתמקד באפליקציית בנקאות אזורית אחת נותרה לא ברורה. עם זאת, העברות אוטומטיות הדורשות מספרי חשבון מקומיים מצביעות על שיתוף פעולה עם רשתות מקומיות של תרומות כסף.