Oferta rabatowa na wiele licencji
Baza danych zagrożeń Trojan bankowy RatOn Android Malware

RatOn Android Malware

Do Favila w Trojan bankowy, Mobilne złośliwe oprogramowanie
Przetłumacz na:

Nowe złośliwe oprogramowanie na Androida o nazwie RatOn szybko ewoluowało z prostego narzędzia do przekazywania komunikatów Near Field Communication (NFC) w zaawansowanego trojana zdalnego dostępu (RAT). Dzięki funkcjonalności ATS (Automated Transfer System), modułom ataku nakładkowego i funkcjom przypominającym ransomware, RatOn staje się jednym z najbardziej wszechstronnych zagrożeń atakujących urządzenia mobilne.

Unikalna kombinacja wektorów ataku

RatOn wyróżnia się tym, że łączy wiele złośliwych technik w jednym frameworku:

  • Ataki nakładające się na siebie w celu kradzieży danych uwierzytelniających.
  • Automatyczne przelewy pieniężne (ATS) służące do opróżniania kont bankowych.
  • Możliwość przekazywania NFC poprzez technikę Ghost Tap.

Ta kombinacja sprawia, że RatOn jest znacznie bardziej niebezpieczny w porównaniu do typowych trojanów bankowych dla systemu Android.

Cele: aplikacje bankowe i kryptowalutowe

Szkodliwe oprogramowanie wykorzystuje funkcje przejęcia kont, które atakują aplikacje portfeli kryptowalutowych, takie jak MetaMask, Trust, Blockchain.com i Phantom. Wykorzystuje również popularną w Czechach aplikację bankową George Česko do automatyzacji oszukańczych przelewów.

Oprócz kradzieży finansowej, RatOn może blokować urządzenia i wysyłać fałszywe żądania okupu. Nakładki te imitują wiadomości wymuszające okup, oskarżając ofiary o oglądanie lub rozpowszechnianie nielegalnych treści i żądając zapłaty 200 dolarów w kryptowalutach w ciągu dwóch godzin. Takie taktyki wymuszania nie tylko wywierają presję na użytkowników, ale także stwarzają atakującym możliwości przechwytywania kodów PIN i bezpośredniego naruszania zabezpieczeń aplikacji portfela.

Aktywny rozwój i taktyki rozprzestrzeniania

Pierwsza próbka RatOn pojawiła się 5 lipca 2025 roku, a kolejne wersje zaobserwowano dopiero 29 sierpnia 2025 roku, co wskazuje na ciągły rozwój. Dystrybucja opiera się na fałszywych ofertach w sklepie Google Play, które podszywają się pod wersję TikToka dla dorosłych (TikTok 18+). Te aplikacje typu dropper instalują złośliwe oprogramowanie, jednocześnie żądając uprawnień, aby ominąć zabezpieczenia Google dotyczące dostępności.

Po instalacji RatOn zwiększa uprawnienia, żądając uprawnień administratora urządzenia, usług ułatwień dostępu oraz dostępu do kontaktów i ustawień systemowych. Następnie pobiera dodatkowe komponenty złośliwego oprogramowania, w tym wcześniej udokumentowane złośliwe oprogramowanie NFSkate, które obsługuje ataki przekaźnikowe NFC.

Zaawansowane możliwości przejmowania kont

RatOn wykazuje głębokie zrozumienie swoich celów. Po aktywacji potrafi:

  • Uruchom aplikacje do obsługi kryptowalut i odblokuj je za pomocą skradzionych kodów PIN.
  • Wejdź w interakcję z ustawieniami bezpieczeństwa w aplikacji.
  • Wyodrębnij tajne frazy odzyskiwania.

Dane te są rejestrowane za pomocą wbudowanego keyloggera i wysyłane na serwery kontrolowane przez atakującego, co umożliwia pełną kontrolę nad zainfekowanymi portfelami kryptowalut. Co ciekawe, baza kodu RatOn nie pokrywa się z innymi rodzinami złośliwego oprogramowania bankowego dla systemu Android, co sugeruje, że została opracowana od podstaw.

Obsługiwane polecenia i operacje

RatOn obsługuje szeroką gamę poleceń, które pozwalają atakującym na szeroką manipulację zainfekowanymi urządzeniami. Do najważniejszych należą:

  • send_push – dostarczaj fałszywe powiadomienia push
  • app_inject – modyfikuje listę docelowych aplikacji
  • przelew – wykonaj oszustwo ATS za pośrednictwem George'a Česko
  • nfs – pobierz i uruchom złośliwe oprogramowanie NFSkate
  • screen_lock – zmiana limitu czasu blokady urządzenia
  • zablokuj – zablokuj urządzenie zdalnie
  • nagrywanie/wyświetlanie – sterowanie sesjami przesyłania ekranu
  • send_sms – wysyłaj wiadomości SMS za pośrednictwem usług ułatwień dostępu
  • add_contact – twórz nowe kontakty
  • update_device – wyekstrahuj odciski palców urządzeń i listy zainstalowanych aplikacji

Skupienie regionalne i strategia podmiotu stanowiącego zagrożenie

Badacze zauważają, że działalność RatOn koncentruje się obecnie w Czechach, a Słowacja prawdopodobnie będzie kolejnym celem. Decyzja o skupieniu się na jednej, regionalnej aplikacji bankowej pozostaje niejasna. Jednak automatyczne przelewy wymagające podania lokalnych numerów kont sugerują współpracę z lokalnymi sieciami mułów finansowych.

Popularne

Naruszenie danych Salesloft

Wrażliwość, Zaawansowane trwałe zagrożenie (APT)
Zakrojony na szeroką skalę cyberatak naruszył integrację Salesloft z agentem czatu Drift AI, umożliwiając hakerom kradzież tokenów OAuth i odświeżania. Atakujący, śledzony jako UNC6395, wykorzystał te skradzione tokeny do włamania się do środowisk klientów Salesforce. Eksperci ds. bezpieczeństwa zidentyfikowali ponad 700 organizacji jako potencjalnie dotkniętych atakiem. Oś czasu naruszenia...

Najczęściej oglądane

Ładowanie...