Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Bankieren Trojan RatOn Android-malware

RatOn Android-malware

Tegen Favila in Bankieren Trojan, Mobiele malware
Vertalen naar:

Een nieuwe Android-malware genaamd RatOn heeft zich snel ontwikkeld van een simpele Near Field Communication (NFC)-relaytool tot een geavanceerde remote access trojan (RAT). Met zijn Automated Transfer System (ATS)-functionaliteit, overlay-aanvalsmodules en ransomware-achtige functies ontpopt RatOn zich tot een van de meest veelzijdige bedreigingen voor mobiele apparaten.

Een unieke combinatie van aanvalsvectoren

RatOn onderscheidt zich doordat het meerdere kwaadaardige technieken in één raamwerk samenvoegt:

  • Overlay-aanvallen om inloggegevens te stelen.
  • Geautomatiseerde geldtransfers (ATS) om bankrekeningen leeg te halen.
  • NFC-relaymogelijkheden via de Ghost Tap-techniek.

Deze combinatie maakt RatOn uiterst gevaarlijk vergeleken met de typische Android banking trojans.

Doelen: bank- en crypto-apps

De malware is gebouwd met functies voor accountovername die specifiek gericht zijn op cryptocurrency wallet-apps zoals MetaMask, Trust, Blockchain.com en Phantom. Het maakt ook gebruik van George Česko, een populaire bank-app in Tsjechië, om frauduleuze overboekingen te automatiseren.

Naast financiële diefstal kan RatOn apparaten vergrendelen en valse losgeldschermen tonen. Deze overlays bootsen afpersingsberichten na, beschuldigen slachtoffers van het bekijken of verspreiden van illegale content en eisen binnen twee uur een betaling van $ 200 in cryptovaluta. Dergelijke dwangtactieken zetten gebruikers niet alleen onder druk, maar creëren ook mogelijkheden voor aanvallers om pincodes te bemachtigen en wallet-apps rechtstreeks te hacken.

Actieve ontwikkelings- en verspreidingstactieken

Het eerste RatOn-exemplaar verscheen op 5 juli 2025, met aanvullende versies die pas op 29 augustus 2025 werden waargenomen, wat wijst op voortdurende ontwikkeling. De distributie is gebaseerd op nep-vermeldingen in de Google Play Store die een volwassen versie van TikTok (TikTok 18+) nabootsen. Deze dropper-apps installeren schadelijke payloads en vragen toestemming om de toegankelijkheidsbeveiligingen van Google te omzeilen.

Na installatie verhoogt RatOn de rechten door apparaatbeheerrechten, toegankelijkheidsservices en toegang tot contacten en systeeminstellingen aan te vragen. Vervolgens haalt het aanvullende malwarecomponenten op, waaronder de eerder gedocumenteerde NFSkate-malware, die NFC-relay-aanvallen afhandelt.

Geavanceerde accountovernamemogelijkheden

RatOn toont een diepgaand begrip van zijn doelen. Eenmaal actief, kan het:

  • Start cryptovaluta-apps en ontgrendel ze met gestolen pincodes.
  • Gebruik de beveiligingsinstellingen in de app.
  • Extraheer geheime herstelzinnen.

Deze gegevens worden geregistreerd via een ingebouwde keylogger en verzonden naar door de aanvaller gecontroleerde servers, waardoor volledige controle over gecompromitteerde cryptowallets ontstaat. Opvallend is dat de codebase van RatOn geen overlap vertoont met andere Android banking-malwarefamilies, wat suggereert dat deze vanaf nul is ontwikkeld.

Ondersteunde commando's en operaties

RatOn ondersteunt een breed scala aan commando's waarmee aanvallers geïnfecteerde apparaten uitgebreid kunnen manipuleren. Enkele van de meest opvallende zijn:

  • send_push – nep pushmeldingen versturen
  • app_inject – wijzig de lijst met doelapps
  • overdracht – voer ATS-fraude uit via George Česko
  • nfs – download en voer NFSkate-malware uit
  • screen_lock – wijzig de time-out voor apparaatvergrendeling
  • vergrendelen – het apparaat op afstand vergrendelen
  • opnemen/weergeven – schermcastingsessies beheren
  • send_sms – sms-berichten verzenden via toegankelijkheidsservices
  • add_contact – nieuwe contacten aanmaken
  • update_device – exfiltreer apparaatvingerafdrukken en geïnstalleerde app-lijsten

Regionale focus en strategie voor dreigingsactoren

Onderzoekers merken op dat de RatOn-activiteit momenteel geconcentreerd is in Tsjechië, met Slowakije als waarschijnlijk volgend doelwit. De beslissing om zich te richten op één regionale bankapplicatie blijft onduidelijk. Geautomatiseerde overboekingen waarvoor lokale rekeningnummers nodig zijn, wijzen echter op samenwerking met lokale geldezelnetwerken.

Trending

Meest bekeken

Bezig met laden...