Zlonamjerni softver RatOn za Android
Novi Android zlonamjerni softver pod nazivom RatOn brzo se razvio od jednostavnog alata za relej komunikacije bliskog polja (NFC) u sofisticirani trojanac za daljinski pristup (RAT). Sa svojom funkcionalnošću automatiziranog sustava prijenosa (ATS), modulima za napade preko ovjerenih polja i značajkama sličnim ransomwareu, RatOn se pojavljuje kao jedna od najsvestranijih prijetnji usmjerenih na mobilne uređaje.
Sadržaj
Jedinstvena kombinacija vektora napada
RatOn se ističe jer spaja više zlonamjernih tehnika u jedan okvir:
- Preklapajući napadi za krađu vjerodajnica.
- Automatizirani transferi novca (ATS) za pražnjenje bankovnih računa.
- NFC mogućnosti releja putem Ghost Tap tehnike.
Ova kombinacija čini RatOn vrlo opasnim u usporedbi s tipičnim Android bankarskim trojancima.
Ciljevi: Bankarske i kripto aplikacije
Zlonamjerni softver izgrađen je s funkcijama preuzimanja računa koje posebno ciljaju aplikacije za kriptovalute poput MetaMask, Trust, Blockchain.com i Phantom. Također iskorištava George Česko, bankarsku aplikaciju popularnu u Češkoj, za automatizaciju lažnih transfera.
Osim financijske krađe, RatOn može zaključati uređaje i postaviti lažne ekrane za otkupninu. Ovi slojevi oponašaju poruke o iznudi, optužujući žrtve za gledanje ili distribuciju ilegalnog sadržaja i zahtijevajući isplatu od 200 dolara u kriptovaluti unutar dva sata. Takve taktike prisile ne samo da vrše pritisak na korisnike, već i stvaraju prilike napadačima da uhvate PIN kodove i izravno kompromitiraju aplikacije novčanika.
Taktike aktivnog razvoja i širenja
Prvi uzorak RatOn-a pojavio se 5. srpnja 2025., a dodatne verzije uočene su sve do 29. kolovoza 2025., što ukazuje na kontinuirani razvoj. Distribucija se oslanja na lažne popise u Trgovini Google Play koji se lažno predstavljaju kao verzija TikToka za odrasle (TikTok 18+). Ove aplikacije za umetanje instaliraju zlonamjerne sadržaje dok istovremeno traže dopuštenja za zaobilaženje Googleovih mjera zaštite pristupačnosti.
Nakon instalacije, RatOn povećava privilegije zahtijevajući prava administracije uređaja, usluge pristupačnosti te pristup kontaktima i postavkama sustava. Zatim dohvaća dodatne komponente zlonamjernog softvera, uključujući prethodno dokumentirani zlonamjerni softver NFSkate, koji obrađuje napade NFC releja.
Napredne mogućnosti preuzimanja računa
RatOn pokazuje duboko razumijevanje svojih ciljeva. Nakon što je aktivan, može:
- Pokrenite aplikacije za kriptovalute i otključajte ih pomoću ukradenih PIN-ova.
- Interakcija s postavkama sigurnosti u aplikaciji.
- Izdvojite tajne fraze za oporavak.
Ovi se podaci bilježe putem ugrađenog keyloggera i šalju na servere koje kontroliraju napadači, što omogućuje potpunu kontrolu nad kompromitiranim kripto novčanicima. Važno je napomenuti da RatOn-ova kodna baza ne pokazuje preklapanje s drugim obiteljima zlonamjernog softvera za Android bankarstvo, što sugerira da je razvijen od nule.
Podržane naredbe i operacije
RatOn podržava širok raspon naredbi koje omogućuju napadačima opsežnu manipulaciju zaraženim uređajima. Neke od najznačajnijih uključuju:
- send_push – dostavlja lažne push obavijesti
- app_inject – mijenja popis ciljanih aplikacija
- prijenos – izvrši ATS prijevaru preko George Česko
- nfs – preuzmite i pokrenite zlonamjerni softver NFSkate
- screen_lock – mijenja vrijeme čekanja za zaključavanje uređaja
- zaključavanje – daljinsko zaključavanje uređaja
- snimanje/prikaz – upravljanje sesijama emitiranja zaslona
- send_sms – slanje SMS poruka putem usluga pristupačnosti
- add_contact – kreiranje novih kontakata
- update_device – prikupljanje otisaka prstiju uređaja i popisa instaliranih aplikacija
Regionalni fokus i strategija aktera prijetnje
Istraživači primjećuju da je aktivnost RatOn-a trenutno koncentrirana u Češkoj, a Slovačka će vjerojatno biti sljedeća meta. Odluka o fokusiranju na jednu regionalnu bankarsku aplikaciju ostaje nejasna. Međutim, automatizirani transferi koji zahtijevaju lokalne brojeve računa sugeriraju suradnju s lokalnim mrežama novčanih mazgi.
