Preventivo sconto multi-licenza
Database delle minacce Trojan bancario Malware Android RatOn

Malware Android RatOn

Entro Favila nel Trojan bancario, Malware per dispositivi mobili
Traduci in:

Un nuovo malware per Android chiamato RatOn si è rapidamente evoluto da semplice strumento di trasmissione NFC (Near Field Communication) a sofisticato trojan di accesso remoto (RAT). Grazie alla funzionalità Automated Transfer System (ATS), ai moduli di attacco overlay e alle funzionalità simili a quelle dei ransomware, RatOn si sta affermando come una delle minacce più versatili per i dispositivi mobili.

Una combinazione unica di vettori di attacco

RatOn si distingue perché unisce più tecniche dannose in un unico framework:

  • Attacchi overlay per rubare credenziali.
  • Trasferimenti di denaro automatizzati (ATS) per prosciugare i conti bancari.
  • Capacità di trasmissione NFC tramite la tecnica Ghost Tap.

Questa combinazione rende RatOn molto pericoloso rispetto ai tipici trojan bancari Android.

Obiettivi: app bancarie e crittografiche

Il malware è dotato di funzioni di acquisizione di account che prendono di mira specificamente app di wallet per criptovalute come MetaMask, Trust, Blockchain.com e Phantom. Sfrutta anche George Česko, un'app bancaria molto diffusa nella Repubblica Ceca, per automatizzare i trasferimenti fraudolenti.

Oltre al furto finanziario, RatOn può bloccare i dispositivi e installare schermate di riscatto false. Queste sovrapposizioni imitano messaggi di estorsione, accusando le vittime di aver visualizzato o distribuito contenuti illegali e richiedendo un pagamento di 200 dollari in criptovaluta entro due ore. Tali tattiche di coercizione non solo esercitano pressione sugli utenti, ma creano anche opportunità per gli aggressori di acquisire codici PIN e compromettere direttamente le app wallet.

Sviluppo attivo e tattiche di diffusione

Il primo campione di RatOn è apparso il 5 luglio 2025, con versioni aggiuntive osservate fino al 29 agosto 2025, a indicare uno sviluppo in corso. La distribuzione si basa su false inserzioni sul Google Play Store che impersonano una versione per adulti di TikTok (TikTok 18+). Queste app dropper installano payload dannosi richiedendo autorizzazioni per aggirare le misure di sicurezza di Google in materia di accessibilità.

Dopo l'installazione, RatOn aumenta i privilegi richiedendo diritti di amministrazione del dispositivo, servizi di accessibilità e accesso ai contatti e alle impostazioni di sistema. Quindi recupera componenti malware aggiuntivi, tra cui il malware NFSkate, già documentato, che gestisce gli attacchi relay NFC.

Funzionalità avanzate di acquisizione dell’account

RatOn dimostra una profonda comprensione dei suoi obiettivi. Una volta attivo, può:

  • Avviare app di criptovaluta e sbloccarle utilizzando PIN rubati.
  • Interagisci con le impostazioni di sicurezza in-app.
  • Estrarre frasi di recupero segrete.

Questi dati vengono registrati tramite un keylogger integrato e inviati ai server controllati dagli aggressori, consentendo il pieno controllo sui wallet di criptovalute compromessi. In particolare, il codice sorgente di RatOn non presenta sovrapposizioni con altre famiglie di malware bancari per Android, il che suggerisce che sia stato sviluppato da zero.

Comandi e operazioni supportati

RatOn supporta un'ampia gamma di comandi che consentono agli aggressori di manipolare ampiamente i dispositivi infetti. Tra i più importanti:

  • send_push – invia notifiche push false
  • app_inject – modifica l'elenco delle app di destinazione
  • trasferimento – eseguire frodi ATS tramite George Česko
  • nfs – scarica ed esegui il malware NFSkate
  • screen_lock – modifica il timeout del blocco del dispositivo
  • blocco – blocca il dispositivo da remoto
  • registra/visualizza – controlla le sessioni di screen casting
  • send_sms – invia messaggi SMS tramite servizi di accessibilità
  • add_contact – crea nuovi contatti
  • update_device – estrae le impronte digitali del dispositivo e gli elenchi delle app installate

Focus regionale e strategia degli attori della minaccia

I ricercatori osservano che l'attività di RatOn è attualmente concentrata nella Repubblica Ceca, con la Slovacchia che probabilmente sarà il prossimo obiettivo. La decisione di concentrarsi su un'unica applicazione bancaria regionale rimane poco chiara. Tuttavia, i trasferimenti automatizzati che richiedono numeri di conto locali suggeriscono una collaborazione con le reti locali di money mule.

Tendenza

I più visti

Caricamento in corso...