RatOn មេរោគ Android

មេរោគ Android ថ្មីមួយដែលមានឈ្មោះថា RatOn បានវិវត្តន៍យ៉ាងឆាប់រហ័សពីឧបករណ៍បញ្ជូនបន្តទំនាក់ទំនងនៅជិតវាល (NFC) ទៅជា Trojan ការចូលប្រើពីចម្ងាយដ៏ទំនើប (RAT)។ ជាមួយនឹងមុខងារ Automated Transfer System (ATS) ម៉ូឌុលវាយប្រហារត្រួតលើគ្នា និងមុខងារស្រដៀងនឹង ransomware RatOn កំពុងលេចចេញជាឧបទ្ទវហេតុមួយក្នុងចំនោមការគម្រាមកំហែងដ៏សម្បូរបែបបំផុតដែលផ្តោតលើឧបករណ៍ចល័ត។

ការរួមបញ្ចូលគ្នាតែមួយគត់នៃវ៉ិចទ័រវាយប្រហារ

RatOn លេចធ្លោព្រោះវារួមបញ្ចូលគ្នានូវបច្ចេកទេសព្យាបាទជាច្រើនទៅក្នុងក្របខ័ណ្ឌតែមួយ៖

• ការវាយប្រហារជាន់គ្នា ដើម្បីលួចព័ត៌មានសម្ងាត់។
• ការផ្ទេរប្រាក់ដោយស្វ័យប្រវត្តិ (ATS) ដើម្បីបង្ហូរគណនីធនាគារ។
• សមត្ថភាពបញ្ជូនត NFC តាមរយៈបច្ចេកទេស Ghost Tap ។

ការរួមបញ្ចូលគ្នានេះធ្វើឱ្យ RatOn មានគ្រោះថ្នាក់ខ្លាំងបើប្រៀបធៀបទៅនឹង Trojan ធនាគារ Android ធម្មតា។

គោលដៅ៖ កម្មវិធីធនាគារ និងគ្រីបតូ

មេរោគនេះត្រូវបានបង្កើតឡើងជាមួយនឹងមុខងារគ្រប់គ្រងគណនីដែលកំណត់គោលដៅជាពិសេសទៅលើកម្មវិធីកាបូប cryptocurrency ដូចជា MetaMask, Trust, Blockchain.com និង Phantom ។ វាក៏កេងប្រវ័ញ្ចលើ George Česko ដែលជាកម្មវិធីធនាគារដ៏ពេញនិយមនៅក្នុងសាធារណរដ្ឋឆេក ដើម្បីធ្វើការផ្ទេរប្រាក់ក្លែងបន្លំដោយស្វ័យប្រវត្តិ។

លើសពីការលួចហិរញ្ញវត្ថុ RatOn អាចចាក់សោឧបករណ៍ និងប្រើប្រាស់អេក្រង់តម្លៃលោះក្លែងក្លាយ។ ការបិទបាំងទាំងនេះធ្វើត្រាប់តាមសារជំរិតទារប្រាក់ ដោយចោទប្រកាន់ជនរងគ្រោះពីការមើល ឬការចែកចាយខ្លឹមសារខុសច្បាប់ និងទាមទារការទូទាត់ជារូបិយប័ណ្ណគ្រីបតូ 200 ដុល្លារក្នុងរយៈពេលពីរម៉ោង។ យុទ្ធសាស្ត្របង្ខិតបង្ខំបែបនេះមិនត្រឹមតែដាក់សម្ពាធលើអ្នកប្រើប្រាស់ប៉ុណ្ណោះទេ ថែមទាំងបង្កើតឱកាសសម្រាប់អ្នកវាយប្រហារក្នុងការចាប់យកកូដ PIN និងសម្របសម្រួលកម្មវិធីកាបូបដោយផ្ទាល់។

ការអភិវឌ្ឍន៍សកម្ម និងការផ្សព្វផ្សាយយុទ្ធសាស្ត្រ

គំរូ RatOn ដំបូងបានបង្ហាញខ្លួននៅថ្ងៃទី 5 ខែកក្កដា ឆ្នាំ 2025 ជាមួយនឹងកំណែបន្ថែមត្រូវបានអង្កេតរហូតដល់ថ្ងៃទី 29 ខែសីហា ឆ្នាំ 2025 ដែលបង្ហាញពីការអភិវឌ្ឍន៍ដែលកំពុងបន្ត។ ការចែកចាយពឹងផ្អែកលើការចុះបញ្ជី Google Play Store ក្លែងក្លាយ ដែលក្លែងបន្លំជាកំណែ TikTok សម្រាប់មនុស្សពេញវ័យ (TikTok 18+)។ កម្មវិធី dropper ទាំងនេះដំឡើង payloads ព្យាបាទ ខណៈពេលដែលស្នើសុំការអនុញ្ញាតដើម្បីរំលងការការពារភាពងាយស្រួលរបស់ Google ។

បន្ទាប់ពីការដំឡើង RatOn បង្កើនសិទ្ធិដោយស្នើសុំសិទ្ធិគ្រប់គ្រងឧបករណ៍ សេវាកម្មភាពងាយស្រួល និងការចូលទៅកាន់ទំនាក់ទំនង និងការកំណត់ប្រព័ន្ធ។ បន្ទាប់មកវាទាញយកសមាសធាតុមេរោគបន្ថែម រួមទាំងមេរោគ NFSkate ដែលបានចងក្រងពីមុនមក ដែលគ្រប់គ្រងការវាយប្រហារបញ្ជូនត NFC ។

សមត្ថភាពគ្រប់គ្រងគណនីកម្រិតខ្ពស់

RatOn បង្ហាញពីការយល់ដឹងយ៉ាងស៊ីជម្រៅអំពីគោលដៅរបស់វា។ នៅពេលដែលសកម្ម វាអាច៖

• បើកដំណើរការកម្មវិធី cryptocurrency ហើយដោះសោពួកវាដោយប្រើកូដ PIN ដែលត្រូវបានលួច។
• ធ្វើអន្តរកម្មជាមួយការកំណត់សុវត្ថិភាពក្នុងកម្មវិធី។
• ស្រង់ឃ្លាសង្គ្រោះសម្ងាត់។

ទិន្នន័យនេះត្រូវបានចូលតាមរយៈ keylogger ដែលភ្ជាប់មកជាមួយ និងផ្ញើទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលអនុញ្ញាតឱ្យមានការគ្រប់គ្រងពេញលេញលើកាបូបលុយគ្រីបដែលត្រូវបានសម្របសម្រួល។ គួរកត់សម្គាល់ថា មូលដ្ឋានកូដរបស់ RatOn មិនបង្ហាញការត្រួតស៊ីគ្នាជាមួយនឹងគ្រួសារមេរោគធនាគារ Android ផ្សេងទៀត ដោយបង្ហាញថាវាត្រូវបានបង្កើតឡើងតាំងពីដំបូង។

ពាក្យបញ្ជា និងប្រតិបត្តិការដែលបានគាំទ្រ

RatOn គាំទ្រអារេដ៏ធំទូលាយនៃពាក្យបញ្ជាដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហាររៀបចំឧបករណ៍ដែលមានមេរោគយ៉ាងទូលំទូលាយ។ មួយចំនួនដែលគួរឱ្យកត់សម្គាល់បំផុតរួមមាន:

• send_push - ផ្តល់ការជូនដំណឹងក្លែងក្លាយ
• app_inject – កែប្រែបញ្ជីកម្មវិធីគោលដៅ
• ផ្ទេរ - អនុវត្តការក្លែងបន្លំ ATS តាមរយៈ George Česko
• nfs - ទាញយកនិងដំណើរការមេរោគ NFSkate
• screen_lock – ផ្លាស់ប្តូរពេលវេលាចាក់សោឧបករណ៍
• ចាក់សោ - ចាក់សោឧបករណ៍ពីចម្ងាយ
• ថត/បង្ហាញ - គ្រប់គ្រងវគ្គបញ្ចាំងអេក្រង់
• send_sms – ផ្ញើសារ SMS តាមរយៈសេវាកម្មភាពងាយស្រួល
• add_contact - បង្កើតទំនាក់ទំនងថ្មី។
• update_device – ដកស្នាមម្រាមដៃឧបករណ៍ និងបញ្ជីកម្មវិធីដែលបានដំឡើង

ការផ្តោតអារម្មណ៍ក្នុងតំបន់ និងយុទ្ធសាស្ត្រតារាសម្ដែងការគំរាមកំហែង

អ្នកស្រាវជ្រាវកត់សម្គាល់ថាសកម្មភាព RatOn បច្ចុប្បន្នត្រូវបានប្រមូលផ្តុំនៅក្នុងសាធារណរដ្ឋឆេក ដោយស្លូវ៉ាគីទំនងជាគោលដៅបន្ទាប់។ ការសម្រេចចិត្តផ្តោតលើកម្មវិធីធនាគារក្នុងតំបន់តែមួយនៅតែមិនច្បាស់លាស់។ ទោះជាយ៉ាងណាក៏ដោយ ការផ្ទេរប្រាក់ដោយស្វ័យប្រវត្តិដែលទាមទារលេខគណនីក្នុងស្រុក បង្ហាញពីកិច្ចសហប្រតិបត្តិការជាមួយបណ្តាញប្រាក់ក្នុងស្រុក។