Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Bankininkystės Trojos arklys „RatOn“ kenkėjiška programa „Android“

„RatOn“ kenkėjiška programa „Android“

Autorius Favila, Bankininkystės Trojos arklys, Kenkėjiška programa mobiliesiems
Versti į:

Nauja „Android“ kenkėjiška programa, vadinama „RatOn“, greitai išsivystė iš paprasto artimojo lauko ryšio (NFC) perdavimo įrankio į sudėtingą nuotolinės prieigos Trojos arklį (RAT). Dėl savo automatizuotos perdavimo sistemos (ATS) funkcionalumo, perdengimo atakų modulių ir išpirkos reikalaujančių programų savybių „RatOn“ tampa viena universaliausių grėsmių, nukreiptų į mobiliuosius įrenginius.

Unikalus atakos vektorių derinys

„RatOn“ išsiskiria tuo, kad sujungia kelias kenkėjiškas technikas į vieną sistemą:

  • Perdengimo atakos, skirtos pavogti prisijungimo duomenis.
  • Automatiniai pinigų pervedimai (ATS), skirti banko sąskaitoms ištuštinti.
  • NFC perdavimo galimybės naudojant „Ghost Tap“ techniką.

Dėl šio derinio „RatOn“ yra labai pavojingas, palyginti su įprastais „Android“ bankininkystės Trojos arkliais.

Tikslai: bankininkystės ir kriptovaliutų programėlės

Kenkėjiška programa sukurta su paskyros perėmimo funkcijomis, kurios konkrečiai taikomos kriptovaliutų piniginių programėlėms, tokioms kaip „MetaMask“, „Trust“, „Blockchain.com“ ir „Phantom“. Ji taip pat išnaudoja „George Česko“ – Čekijoje populiarią bankininkystės programėlę, skirtą nesąžiningiems pervedimams automatizuoti.

Be finansinių vagysčių, „RatOn“ gali užrakinti įrenginius ir diegti netikrus išpirkos reikalaujančius ekranus. Šie ekranai imituoja išpirkos reikalavimo pranešimus, kaltindami aukas neteisėto turinio peržiūra ar platinimu ir per dvi valandas reikalaudami sumokėti 200 USD kriptovaliutą. Tokia prievartos taktika ne tik daro spaudimą vartotojams, bet ir sukuria galimybes užpuolikams gauti PIN kodus ir tiesiogiai pažeisti piniginės programėles.

Aktyvaus kūrimo ir skleidimo taktika

Pirmasis „RatOn“ pavyzdys pasirodė 2025 m. liepos 5 d., o papildomos versijos pastebėtos iki 2025 m. rugpjūčio 29 d., o tai rodo nuolatinį kūrimą. Platinimas pagrįstas netikrais „Google Play“ parduotuvės įrašais, kurie apsimetinėja suaugusiesiems skirta „TikTok“ versija („TikTok 18+“). Šios įskiepių programėlės įdiegia kenkėjiškas apkrovas, prašydamos leidimų apeiti „Google“ prieinamumo apsaugos priemones.

Įdiegus „RatOn“, privilegijos didėja, prašydama įrenginio administravimo teisių, prieinamumo paslaugų ir prieigos prie kontaktų bei sistemos nustatymų. Tada ji gauna papildomus kenkėjiškų programų komponentus, įskaitant anksčiau aprašytą „NFSkate“ kenkėjišką programą, kuri tvarko NFC perdavimo atakas.

Išplėstinės paskyros perėmimo galimybės

„RatOn“ demonstruoja gilų savo tikslų supratimą. Kai pradeda veikti, ji gali:

  • Paleiskite kriptovaliutų programėles ir atrakinkite jas naudodami pavogtus PIN kodus.
  • Sąveikauti su programėlės saugos nustatymais.
  • Ištraukite slaptas atkūrimo frazes.

Šie duomenys registruojami naudojant integruotą klavišų paspaudimų registratorių ir siunčiami į užpuoliko kontroliuojamus serverius, taip suteikiant visišką pažeistų kriptovaliutų piniginių kontrolę. Pažymėtina, kad „RatOn“ kodo bazė nepersidengia su kitomis „Android“ bankininkystės kenkėjiškų programų šeimomis, o tai rodo, kad ji buvo sukurta nuo nulio.

Palaikomos komandos ir operacijos

„RatOn“ palaiko platų komandų spektrą, leidžiantį užpuolikams plačiai manipuliuoti užkrėstais įrenginiais. Kai kurios iš žymiausių yra šios:

  • send_push – siunčia netikrus tiesioginius pranešimus
  • app_inject – modifikuoja tikslinių programų sąrašą
  • pervedimas – vykdyti ATS sukčiavimą per George'ą Česko
  • nfs – atsisiųskite ir paleiskite NFSkate kenkėjišką programą
  • screen_lock – pakeisti įrenginio užrakinimo laikmatį
  • užrakinti – užrakinti įrenginį nuotoliniu būdu
  • įrašyti/rodyti – valdyti ekrano transliavimo seansus
  • send_sms – siųsti SMS žinutes per pritaikymo neįgaliesiems paslaugas
  • add_contact – sukurti naujus kontaktus
  • update_device – išfiltruoja įrenginio pirštų atspaudus ir įdiegtų programų sąrašus

Regioninis dėmesys ir grėsmės veikėjų strategija

Tyrėjai pažymi, kad „RatOn“ veikla šiuo metu sutelkta Čekijoje, o kitas taikinys greičiausiai bus Slovakija. Sprendimas sutelkti dėmesį į vieną regioninę bankininkystės programėlę lieka neaiškus. Tačiau automatizuoti pervedimai, kuriems reikalingi vietiniai sąskaitų numeriai, rodo bendradarbiavimą su vietiniais pinigų mulų tinklais.

Tendencijos

„Salesloft“ duomenų pažeidimas

Pažeidžiamumas, Išplėstinė nuolatinė grėsmė (APT)
Didelio masto kibernetinė ataka pakenkė „Salesloft“ integracijai su „Drift AI“ pokalbių agentu, leisdama įsilaužėliams pavogti „OAuth“ ir atnaujinimo žetonus. Grėsmės veikėjas, sekamas kaip UNC6395, pasinaudojo šiais pavogtais žetonais, kad įsilaužtų į „Salesforce“ klientų aplinkas. Saugumo ekspertai nustatė, kad daugiau nei 700 organizacijų gali būti paveiktos. Pažeidimo laiko juosta Tyrimai...

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,330
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...