रैटऑन एंड्रॉइड मैलवेयर
रैटऑन नामक एक नया एंड्रॉइड मैलवेयर एक साधारण नियर फील्ड कम्युनिकेशन (एनएफसी) रिले टूल से तेज़ी से एक परिष्कृत रिमोट एक्सेस ट्रोजन (आरएटी) में बदल गया है। अपनी ऑटोमेटेड ट्रांसफर सिस्टम (एटीएस) कार्यक्षमता, ओवरले अटैक मॉड्यूल और रैंसमवेयर जैसी विशेषताओं के साथ, रैटऑन मोबाइल उपकरणों को निशाना बनाने वाले सबसे बहुमुखी खतरों में से एक के रूप में उभर रहा है।
विषयसूची
आक्रमण वेक्टरों का एक अनूठा संयोजन
रैटऑन इसलिए अलग है क्योंकि यह कई दुर्भावनापूर्ण तकनीकों को एक ढांचे में मिला देता है:
- क्रेडेंशियल्स चुराने के लिए ओवरले हमले ।
- बैंकिंग खातों से धन निकालने के लिए स्वचालित धन हस्तांतरण (एटीएस) ।
- घोस्ट टैप तकनीक के माध्यम से एनएफसी रिले क्षमताएं ।
यह संयोजन रैटऑन को सामान्य एंड्रॉयड बैंकिंग ट्रोजन की तुलना में अत्यधिक खतरनाक बनाता है।
लक्ष्य: बैंकिंग और क्रिप्टो ऐप्स
यह मैलवेयर अकाउंट टेकओवर फंक्शन के साथ बनाया गया है जो खास तौर पर मेटामास्क, ट्रस्ट, ब्लॉकचेन.कॉम और फैंटम जैसे क्रिप्टोकरेंसी वॉलेट ऐप्स को निशाना बनाता है। यह चेक गणराज्य में लोकप्रिय बैंकिंग ऐप जॉर्ज सेस्को का भी इस्तेमाल करता है ताकि धोखाधड़ी वाले ट्रांसफर को स्वचालित किया जा सके।
वित्तीय चोरी के अलावा, रैटऑन डिवाइस लॉक कर सकता है और नकली फिरौती स्क्रीन लगा सकता है। ये ओवरले जबरन वसूली के संदेशों की नकल करते हैं, पीड़ितों पर अवैध सामग्री देखने या वितरित करने का आरोप लगाते हैं, और दो घंटे के भीतर 200 डॉलर की क्रिप्टोकरेंसी भुगतान की मांग करते हैं। इस तरह की ज़बरदस्ती की रणनीति न केवल उपयोगकर्ताओं पर दबाव डालती है, बल्कि हमलावरों के लिए पिन कोड हासिल करने और वॉलेट ऐप्स को सीधे तौर पर हैक करने के अवसर भी पैदा करती है।
सक्रिय विकास और प्रसार रणनीतियाँ
पहला रैटऑन नमूना 5 जुलाई, 2025 को सामने आया, और इसके अतिरिक्त संस्करण 29 अगस्त, 2025 तक देखे गए, जो निरंतर विकास का संकेत देते हैं। वितरण नकली गूगल प्ले स्टोर लिस्टिंग पर निर्भर करता है जो टिकटॉक (टिकटॉक 18+) के वयस्क संस्करण का रूप धारण करते हैं। ये ड्रॉपर ऐप्स गूगल की पहुँच-योग्यता सुरक्षा को दरकिनार करने की अनुमति मांगते हुए दुर्भावनापूर्ण पेलोड इंस्टॉल करते हैं।
इंस्टॉलेशन के बाद, RatOn डिवाइस एडमिनिस्ट्रेशन अधिकारों, एक्सेसिबिलिटी सेवाओं, और संपर्कों व सिस्टम सेटिंग्स तक पहुँच का अनुरोध करके विशेषाधिकारों को बढ़ाता है। इसके बाद, यह अतिरिक्त मैलवेयर घटकों को लाता है, जिनमें पहले से प्रलेखित NFSkate मैलवेयर भी शामिल है, जो NFC रिले हमलों को संभालता है।
उन्नत खाता अधिग्रहण क्षमताएँ
रैटऑन अपने लक्ष्यों की गहरी समझ प्रदर्शित करता है। एक बार सक्रिय होने पर, यह:
- क्रिप्टोकरेंसी ऐप्स लॉन्च करें और चोरी किए गए पिन का उपयोग करके उन्हें अनलॉक करें।
- इन-ऐप सुरक्षा सेटिंग्स के साथ सहभागिता करें.
- गुप्त पुनर्प्राप्ति वाक्यांश निकालें.
यह डेटा एक अंतर्निहित कीलॉगर के माध्यम से लॉग किया जाता है और हमलावर-नियंत्रित सर्वरों को भेजा जाता है, जिससे प्रभावित क्रिप्टो वॉलेट पर पूर्ण नियंत्रण प्राप्त होता है। उल्लेखनीय है कि रैटऑन का कोडबेस अन्य एंड्रॉइड बैंकिंग मैलवेयर परिवारों के साथ कोई ओवरलैप नहीं दिखाता है, जिससे पता चलता है कि इसे बिल्कुल नए सिरे से विकसित किया गया था।
समर्थित कमांड और संचालन
रैटऑन कई तरह के कमांड का समर्थन करता है जो हमलावरों को संक्रमित डिवाइसों में बड़े पैमाने पर हेरफेर करने की अनुमति देते हैं। इनमें से कुछ सबसे उल्लेखनीय कमांड हैं:
- send_push – नकली पुश सूचनाएं भेजें
- app_inject – लक्षित ऐप्स की सूची संशोधित करें
- स्थानांतरण - जॉर्ज सेस्को के माध्यम से एटीएस धोखाधड़ी को अंजाम देना
- nfs - NFSkate मैलवेयर डाउनलोड करें और चलाएँ
- स्क्रीन_लॉक – डिवाइस लॉक टाइमआउट बदलें
- लॉक - डिवाइस को दूर से लॉक करें
- रिकॉर्ड/प्रदर्शन - स्क्रीन कास्टिंग सत्रों को नियंत्रित करें
- send_sms – पहुँच सेवाओं के माध्यम से एसएमएस संदेश भेजें
- add_contact – नए संपर्क बनाएँ
- update_device – डिवाइस के फिंगरप्रिंट और इंस्टॉल किए गए ऐप की सूची को बाहर निकालें
क्षेत्रीय फोकस और खतरा अभिनेता रणनीति
शोधकर्ताओं का कहना है कि रैटऑन की गतिविधियाँ वर्तमान में चेक गणराज्य में केंद्रित हैं, और स्लोवाकिया अगला लक्ष्य होने की संभावना है। किसी एक क्षेत्रीय बैंकिंग एप्लिकेशन पर ध्यान केंद्रित करने का निर्णय अभी अस्पष्ट है। हालाँकि, स्थानीय खाता संख्याओं की आवश्यकता वाले स्वचालित हस्तांतरण स्थानीय मनी म्यूल नेटवर्क के साथ सहयोग का संकेत देते हैं।
