RatOn Android ļaunprogrammatūra
Jauna Android ļaunprogrammatūra ar nosaukumu RatOn ir ātri attīstījusies no vienkārša tuva darbības lauka sakaru (NFC) releja rīka par sarežģītu attālās piekļuves Trojas zirgu (RAT). Ar savu automatizētās pārsūtīšanas sistēmas (ATS) funkcionalitāti, pārklājuma uzbrukuma moduļiem un izspiedējvīrusiem līdzīgām funkcijām RatOn kļūst par vienu no daudzpusīgākajiem draudiem, kas vērsti pret mobilajām ierīcēm.
Satura rādītājs
Unikāla uzbrukuma vektoru kombinācija
RatOn izceļas ar to, ka apvieno vairākas ļaunprātīgas metodes vienā sistēmā:
- Pārklājuma uzbrukumi , lai nozagtu akreditācijas datus.
- Automatizēti naudas pārskaitījumi (ATS), lai iztukšotu bankas kontus.
- NFC pārraides iespējas , izmantojot Ghost Tap tehniku.
Šī kombinācija padara RatOn ļoti bīstamu, salīdzinot ar tipiskiem Android banku Trojas zirgiem.
Mērķi: banku un kriptovalūtu lietotnes
Ļaunprogrammatūra ir veidota ar kontu pārņemšanas funkcijām, kas īpaši vērstas pret kriptovalūtas maku lietotnēm, piemēram, MetaMask, Trust, Blockchain.com un Phantom. Tā arī izmanto George Česko, banku lietotni, kas ir populāra Čehijas Republikā, lai automatizētu krāpnieciskus pārskaitījumus.
Papildus finanšu zādzībām RatOn var bloķēt ierīces un izvietot viltotus izpirkuma ekrānus. Šie pārklājumi atdarina izspiešanas ziņojumus, apsūdzot upurus nelegāla satura skatīšanā vai izplatīšanā un pieprasot 200 ASV dolāru kriptovalūtas maksājumu divu stundu laikā. Šāda piespiešanas taktika ne tikai spiež lietotājus, bet arī rada iespējas uzbrucējiem iegūt PIN kodus un tieši apdraudēt maka lietotnes.
Aktīvas attīstības un izplatīšanas taktika
Pirmais RatOn paraugs parādījās 2025. gada 5. jūlijā, un papildu versijas tika novērotas līdz pat 2025. gada 29. augustam, kas norāda uz nepārtrauktu izstrādi. Izplatīšana balstās uz viltotiem Google Play veikala ierakstiem, kas atdarina TikTok pieaugušajiem paredzēto versiju (TikTok 18+). Šīs dropper lietotnes instalē ļaunprātīgu slodzi, vienlaikus pieprasot atļaujas apiet Google pieejamības drošības pasākumus.
Pēc instalēšanas RatOn paplašina privilēģijas, pieprasot ierīces administrēšanas tiesības, pieejamības pakalpojumus un piekļuvi kontaktpersonām un sistēmas iestatījumiem. Pēc tam tas ielādē papildu ļaunprogrammatūras komponentus, tostarp iepriekš dokumentēto NFSkate ļaunprogrammatūru, kas apstrādā NFC releja uzbrukumus.
Paplašinātas konta pārņemšanas iespējas
RatOn demonstrē dziļu izpratni par saviem mērķiem. Kad tas ir aktīvs, tas var:
- Palaidiet kriptovalūtas lietotnes un atbloķējiet tās, izmantojot nozagtus PIN kodus.
- Mijiedarbojieties ar lietotnes drošības iestatījumiem.
- Izvilkt slepenas atkopšanas frāzes.
Šie dati tiek reģistrēti, izmantojot iebūvētu taustiņu nospiedumu reģistrētāju, un nosūtīti uzbrucēju kontrolētiem serveriem, nodrošinot pilnīgu kontroli pār apdraudētiem kriptovalūtu makiem. Jāatzīmē, ka RatOn koda bāze neuzrāda pārklāšanos ar citām Android banku ļaunprogrammatūru saimēm, kas liecina, ka tā tika izstrādāta no nulles.
Atbalstītās komandas un darbības
RatOn atbalsta plašu komandu klāstu, kas ļauj uzbrucējiem plaši manipulēt ar inficētām ierīcēm. Dažas no ievērojamākajām ir:
- send_push – piegādāt viltotus push paziņojumus
- app_inject – modificē mērķlietotņu sarakstu
- pārskaitījums – ATS krāpšanas izpilde caur Džordžu Česko
- nfs – lejupielādējiet un palaidiet NFSkate ļaunprogrammatūru
- screen_lock – mainīt ierīces bloķēšanas taimautu
- bloķēt — attālināti bloķēt ierīci
- ierakstīt/rādīt — ekrāna apraides sesiju vadība
- send_sms — sūtīt īsziņas, izmantojot pieejamības pakalpojumus
- add_contact – izveido jaunus kontaktus
- update_device – izfiltrē ierīces pirkstu nospiedumus un instalēto lietotņu sarakstus
Reģionālais fokuss un draudu dalībnieku stratēģija
Pētnieki norāda, ka RatOn darbība pašlaik ir koncentrēta Čehijas Republikā, un nākamais mērķis, visticamāk, būs Slovākija. Lēmums koncentrēties uz vienu reģionālu banku lietojumprogrammu joprojām nav skaidrs. Tomēr automatizētie pārskaitījumi, kuriem nepieciešami vietējie konta numuri, liecina par sadarbību ar vietējiem naudas mūļu tīkliem.
