Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Trojan Bancário Malware RatOn para Android

Malware RatOn para Android

Por Favila em Trojan Bancário, Malware móvel
Traduzir Para:

Um novo malware para Android chamado RatOn evoluiu rapidamente de uma simples ferramenta de retransmissão de Comunicação por Campo Próximo (NFC) para um sofisticado trojan de acesso remoto (RAT). Com sua funcionalidade de Sistema de Transferência Automatizada (ATS), módulos de ataque de sobreposição e recursos semelhantes aos de ransomware, o RatOn está emergindo como uma das ameaças mais versáteis direcionadas a dispositivos móveis.

Uma combinação única de vetores de ataque

O RatOn se destaca porque reúne diversas técnicas maliciosas em uma única estrutura:

  • Ataques de sobreposição para roubar credenciais.
  • Transferências automáticas de dinheiro (ATS) para esvaziar contas bancárias.
  • Capacidades de retransmissão NFC por meio da técnica Ghost Tap.

Essa combinação torna o RatOn altamente perigoso em comparação aos típicos trojans bancários do Android.

Alvos: Aplicativos bancários e de criptomoedas

O malware foi desenvolvido com funções de sequestro de contas que visam especificamente aplicativos de carteira de criptomoedas como MetaMask, Trust, Blockchain.com e Phantom. Ele também explora o George Česko, um aplicativo bancário popular na República Tcheca, para automatizar transferências fraudulentas.

Além do roubo financeiro, o RatOn pode bloquear dispositivos e implantar telas falsas de resgate. Essas sobreposições imitam mensagens de extorsão, acusando as vítimas de visualizar ou distribuir conteúdo ilegal, e exigem um pagamento de US$ 200 em criptomoeda em até duas horas. Essas táticas de coerção não apenas pressionam os usuários, mas também criam oportunidades para que invasores capturem códigos PIN e comprometam aplicativos de carteira diretamente.

Desenvolvimento Ativo e Táticas de Divulgação

A primeira amostra do RatOn apareceu em 5 de julho de 2025, com versões adicionais observadas até 29 de agosto de 2025, indicando desenvolvimento contínuo. A distribuição depende de listagens falsas na Google Play Store que se passam por uma versão adulta do TikTok (TikTok 18+). Esses aplicativos dropper instalam payloads maliciosos enquanto solicitam permissões para contornar as proteções de acessibilidade do Google.

Após a instalação, o RatOn aumenta os privilégios solicitando direitos de administração do dispositivo, serviços de acessibilidade e acesso a contatos e configurações do sistema. Em seguida, ele busca componentes de malware adicionais, incluindo o malware NFSkate, já documentado, que lida com ataques de retransmissão NFC.

Recursos avançados de aquisição de contas

O RatOn demonstra um profundo conhecimento de seus alvos. Uma vez ativo, ele pode:

  • Abra aplicativos de criptomoedas e desbloqueie-os usando PINs roubados.
  • Interaja com as configurações de segurança do aplicativo.
  • Extraia frases secretas de recuperação.

Esses dados são registrados por meio de um keylogger integrado e enviados para servidores controlados pelo invasor, permitindo controle total sobre as carteiras de criptomoedas comprometidas. Notavelmente, a base de código do RatOn não apresenta sobreposição com outras famílias de malware bancário para Android, sugerindo que ele foi desenvolvido do zero.

Comandos e Operações Suportados

O RatOn suporta uma ampla gama de comandos que permitem que invasores manipulem extensivamente dispositivos infectados. Alguns dos mais notáveis incluem:

  • send_push – entregar notificações push falsas
  • app_inject – modifica a lista de aplicativos alvo
  • transferência – executar fraude ATS via George Česko
  • nfs – baixe e execute o malware NFSkate
  • screen_lock – altera o tempo limite de bloqueio do dispositivo
  • bloquear – bloquear o dispositivo remotamente
  • gravar/exibir – controlar sessões de transmissão de tela
  • send_sms – enviar mensagens SMS por meio de serviços de acessibilidade
  • add_contact – criar novos contatos
  • update_device – exfiltra impressões digitais de dispositivos e listas de aplicativos instalados

Foco regional e estratégia de atores de ameaças

Pesquisadores observam que a atividade do RatOn está atualmente concentrada na República Tcheca, com a Eslováquia provavelmente sendo o próximo alvo. A decisão de focar em um único aplicativo bancário regional ainda não está clara. No entanto, transferências automatizadas que exigem números de contas locais sugerem cooperação com redes locais de "mulas de dinheiro".

Tendendo

Violação de dados da Salesloft

Vulnerabilidade, Ameaça Persistente Avançada (APT)
Um ataque cibernético em larga escala comprometeu a integração da Salesloft com o agente de chat Drift AI, permitindo que hackers roubassem tokens OAuth e de atualização. O agente da ameaça, identificado como UNC6395, explorou esses tokens roubados para violar os ambientes de clientes da Salesforce. Especialistas em segurança identificaram mais de 700 organizações como potencialmente afetadas....

Mais visto

Carregando...