Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Banki trójai RatOn Android kártevő

RatOn Android kártevő

Favila -ra Banki trójai, Mobil rosszindulatú program-ben
Fordítás ide:

Egy új Android kártevő, a RatOn, gyorsan fejlődött egy egyszerű Near Field Communication (NFC) továbbító eszközből egy kifinomult távoli hozzáférésű trójaivá (RAT). Automated Transfer System (ATS) funkciójával, átfedő támadási moduljaival és zsarolóvírus-szerű funkcióival a RatOn az egyik legsokoldalúbb mobileszközöket célzó fenyegetéssé válik.

A támadási vektorok egyedi kombinációja

A RatOn azért tűnik ki, mert több rosszindulatú technikát egyesít egyetlen keretrendszerbe:

  • Átfedéses támadások a hitelesítő adatok ellopására.
  • Automatizált pénzátutalások (ATS) a bankszámlák kiürítésére.
  • NFC továbbítási képességek a Ghost Tap technikával.

Ez a kombináció a RatOnt rendkívül veszélyessé teszi a tipikus Androidos banki trójaiakhoz képest.

Célok: Banki és kriptoalkalmazások

A rosszindulatú program fiókátvételi funkciókkal rendelkezik, amelyek kifejezetten olyan kriptovaluta-tárcaalkalmazásokat céloznak meg, mint a MetaMask, a Trust, a Blockchain.com és a Phantom. Emellett a Cseh Köztársaságban népszerű George Česko banki alkalmazást is kihasználja a csalárd átutalások automatizálására.

A pénzügyi lopáson túl a RatOn képes zárolni az eszközöket és hamis váltságdíjkövető képernyőket telepíteni. Ezek a képernyők zsarolóüzeneteket utánoznak, illegális tartalom megtekintéséért vagy terjesztéséért vádolják az áldozatokat, és két órán belül 200 dolláros kriptovaluta kifizetését követelik. Az ilyen kényszerítő taktikák nemcsak nyomást gyakorolnak a felhasználókra, hanem lehetőséget teremtenek a támadók számára PIN-kódok megszerzésére és a pénztárcaalkalmazások közvetlen feltörésére is.

Aktív fejlesztési és terjesztési taktikák

Az első RatOn minta 2025. július 5-én jelent meg, további verziók pedig egészen 2025. augusztus 29-ig voltak megfigyelhetők, ami folyamatos fejlesztésre utal. A terjesztés hamis Google Play Áruház-listákon alapul, amelyek a TikTok felnőtt verzióját (TikTok 18+) utánozzák. Ezek a dropper alkalmazások rosszindulatú hasznos adatokat telepítenek, miközben engedélyeket kérnek a Google akadálymentesítési biztonsági intézkedéseinek megkerülésére.

A telepítés után a RatOn eszközadminisztrátori jogokat, akadálymentesítési szolgáltatásokat, valamint a névjegyekhez és a rendszerbeállításokhoz való hozzáférést kérve eszkalálja a jogosultságokat. Ezután további kártevő-összetevőket kér le, beleértve a korábban dokumentált NFSkate kártevőt, amely NFC-továbbítási támadásokat kezel.

Speciális fiókátvételi lehetőségek

A RatOn mélyrehatóan ismeri céljait. Aktivitása után képes:

  • Indítson el kriptovaluta-alkalmazásokat, és oldja fel őket lopott PIN-kódokkal.
  • Az alkalmazáson belüli biztonsági beállítások kezelése.
  • Vonj ki titkos helyreállítási mondatokat.

Ezeket az adatokat egy beépített billentyűleütés-figyelő naplózza, és a támadó által ellenőrzött szerverekre küldi, így teljes mértékben ellenőrizhető a feltört kriptovaluta-tárcák. Figyelemre méltó, hogy a RatOn kódbázisa nem mutat átfedést más Android banki kártevőcsaládokkal, ami arra utal, hogy a nulláról fejlesztették ki.

Támogatott parancsok és műveletek

A RatOn számos parancsot támogat, amelyek lehetővé teszik a támadók számára a fertőzött eszközök széles körű manipulálását. Néhány a legjelentősebbek közül:

  • send_push – hamis push értesítések küldése
  • app_inject – módosítja a célzott alkalmazások listáját
  • átutalás – ATS-csalás végrehajtása George Českon keresztül
  • nfs – NFSkate kártevő letöltése és futtatása
  • screen_lock – eszközzár időtúllépésének módosítása
  • zárolás – távolról zárolja az eszközt
  • felvétel/megjelenítés – képernyőátküldési munkamenetek vezérlése
  • send_sms – SMS-üzenetek küldése akadálymentesítési szolgáltatásokon keresztül
  • add_contact – új kapcsolatok létrehozása
  • update_device – Eszközök ujjlenyomatainak és telepített alkalmazások listájának kiszűrése

Regionális fókusz és fenyegető szereplők stratégiája

A kutatók megjegyzik, hogy a RatOn tevékenysége jelenleg a Cseh Köztársaságra koncentrálódik, valószínűleg Szlovákia lesz a következő célpont. Az egyetlen regionális banki alkalmazásra való összpontosításról szóló döntés továbbra sem világos. A helyi számlaszámokat igénylő automatizált átutalások azonban a helyi pénzváltó hálózatokkal való együttműködésre utalnak.

Felkapott

Salesloft adatvédelmi incidens

Sebezhetőség, Advanced Persistent Threat (APT)
Egy nagyszabású kibertámadás veszélyeztette a Salesloft integrációját a Drift AI chatügynökkel, lehetővé téve a hackerek számára, hogy OAuth és frissítési tokeneket lopjanak. Az UNC6395 azonosítóval azonosított fenyegető szereplő ezeket az ellopott tokeneket kihasználva törte fel a Salesforce ügyfélkörnyezeteit. Biztonsági szakértők több mint 700 szervezetet azonosítottak potenciálisan...

Legnézettebb

Betöltés...