RatOn Android Malware
Satu perisian hasad Android baharu yang dipanggil RatOn telah cepat berkembang daripada alat penyampaian Komunikasi Medan Dekat (NFC) yang mudah menjadi trojan capaian jauh (RAT) yang canggih. Dengan fungsi Sistem Pemindahan Automatik (ATS), modul serangan tindanan dan ciri seperti perisian tebusan, RatOn muncul sebagai salah satu ancaman paling serba boleh yang menyasarkan peranti mudah alih.
Isi kandungan
Gabungan Unik Vektor Serangan
RatOn menyerlah kerana ia menggabungkan pelbagai teknik berniat jahat ke dalam satu rangka kerja:
- Serangan tindanan untuk mencuri bukti kelayakan.
- Pemindahan wang automatik (ATS) untuk menguras akaun perbankan.
- Keupayaan geganti NFC melalui teknik Ghost Tap.
Gabungan ini menjadikan RatOn sangat berbahaya berbanding trojan perbankan Android biasa.
Sasaran: Apl Perbankan dan Kripto
Malware ini dibina dengan fungsi pengambilalihan akaun yang menyasarkan aplikasi dompet mata wang kripto secara khusus seperti MetaMask, Trust, Blockchain.com dan Phantom. Ia juga mengeksploitasi George Česko, aplikasi perbankan yang popular di Republik Czech, untuk mengautomasikan pemindahan penipuan.
Di luar kecurian kewangan, RatOn boleh mengunci peranti dan menggunakan skrin tebusan palsu. Tindanan ini meniru mesej peras ugut, menuduh mangsa melihat atau mengedar kandungan haram, dan menuntut pembayaran mata wang kripto $200 dalam masa dua jam. Taktik paksaan sedemikian bukan sahaja menekan pengguna tetapi juga mewujudkan peluang untuk penyerang menangkap kod PIN dan menjejaskan apl dompet secara langsung.
Taktik Pembangunan dan Penyebaran Aktif
Sampel RatOn pertama muncul pada 5 Julai 2025, dengan versi tambahan diperhatikan selewat-lewatnya pada 29 Ogos 2025, menunjukkan pembangunan yang sedang berjalan. Pengedaran bergantung pada penyenaraian Gedung Google Play palsu yang menyamar sebagai versi dewasa TikTok (TikTok 18+). Apl penitis ini memasang muatan berniat jahat sambil meminta kebenaran untuk memintas perlindungan kebolehaksesan Google.
Selepas pemasangan, RatOn meningkatkan keistimewaan dengan meminta hak pentadbiran peranti, perkhidmatan kebolehcapaian dan akses kepada kenalan dan tetapan sistem. Ia kemudian mengambil komponen perisian hasad tambahan, termasuk perisian hasad NFSkate yang didokumenkan sebelum ini, yang mengendalikan serangan geganti NFC.
Keupayaan Pengambilalihan Akaun Lanjutan
RatOn menunjukkan pemahaman yang mendalam tentang sasarannya. Setelah aktif, ia boleh:
- Lancarkan apl mata wang kripto dan buka kuncinya menggunakan PIN yang dicuri.
- Berinteraksi dengan tetapan keselamatan dalam apl.
- Ekstrak frasa pemulihan rahsia.
Data ini dilog melalui keylogger terbina dalam dan dihantar ke pelayan dikawal penyerang, membenarkan kawalan penuh ke atas dompet crypto yang terjejas. Terutamanya, pangkalan kod RatOn tidak menunjukkan pertindihan dengan keluarga perisian hasad perbankan Android yang lain, mencadangkan ia dibangunkan dari awal.
Perintah dan Operasi yang Disokong
RatOn menyokong pelbagai jenis perintah yang membolehkan penyerang memanipulasi peranti yang dijangkiti secara meluas. Antara yang paling ketara termasuk:
- send_push – hantar pemberitahuan tolak palsu
- app_inject – ubah suai senarai apl yang disasarkan
- pemindahan – laksanakan penipuan ATS melalui George Česko
- nfs – muat turun dan jalankan perisian hasad NFSkate
- kunci skrin – ubah tamat masa kunci peranti
- kunci – kunci peranti dari jauh
- rekod/paparan – mengawal sesi penghantaran skrin
- send_sms – hantar mesej SMS melalui perkhidmatan kebolehaksesan
- add_contact – buat kenalan baharu
- update_device – keluarkan cap jari peranti dan senarai apl yang dipasang
Strategi Pelakon Tumpuan dan Ancaman Serantau
Penyelidik ambil perhatian bahawa aktiviti RatOn kini tertumpu di Republik Czech, dengan Slovakia mungkin menjadi sasaran seterusnya. Keputusan untuk memberi tumpuan kepada satu aplikasi perbankan serantau masih tidak jelas. Walau bagaimanapun, pemindahan automatik yang memerlukan nombor akaun tempatan mencadangkan kerjasama dengan rangkaian keldai wang tempatan.
