Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Troian bancar Programul malware RatOn pentru Android

Programul malware RatOn pentru Android

Până în Favila în Troian bancar, Malware mobil
Tradu in:

Un nou malware pentru Android numit RatOn a evoluat rapid dintr-un simplu instrument de retransmitere Near Field Communication (NFC) într-un troian sofisticat de acces la distanță (RAT). Cu funcționalitatea sa de Sistem Automat de Transfer (ATS), modulele de atac suprapuse și caracteristicile de tip ransomware, RatOn se impune ca una dintre cele mai versatile amenințări care vizează dispozitivele mobile.

O combinație unică de vectori de atac

RatOn se remarcă prin faptul că îmbină mai multe tehnici rău intenționate într-un singur framework:

  • Atacuri suprapuse pentru furtul de acreditări.
  • Transferuri automate de bani (ATS) pentru golirea conturilor bancare.
  • Capacități de retransmitere NFC prin tehnica Ghost Tap.

Această combinație îl face pe RatOn extrem de periculos în comparație cu troienii bancari tipici pentru Android.

Ținte: Aplicații bancare și criptomonede

Malware-ul este construit cu funcții de preluare a conturilor care vizează în mod specific aplicațiile de portofel bancar pentru criptomonede precum MetaMask, Trust, Blockchain.com și Phantom. De asemenea, exploatează George Česko, o aplicație bancară populară în Republica Cehă, pentru a automatiza transferurile frauduloase.

Dincolo de furtul financiar, RatOn poate bloca dispozitive și implementa ecrane false de recompensă. Aceste suprapuneri imită mesaje de extorcare, acuzând victimele de vizualizarea sau distribuirea de conținut ilegal și cerând o plată de 200 de dolari în criptomonedă în termen de două ore. Astfel de tactici de coerciție nu numai că pun presiune pe utilizatori, dar creează și oportunități pentru atacatori de a captura coduri PIN și de a compromite direct aplicațiile portofelului.

Tactici active de dezvoltare și răspândire

Primul exemplu RatOn a apărut pe 5 iulie 2025, iar versiuni suplimentare au fost observate până pe 29 august 2025, ceea ce indică o dezvoltare continuă. Distribuția se bazează pe înregistrări false din Magazinul Google Play care se dau drept o versiune adultă a TikTok (TikTok 18+). Aceste aplicații dropper instalează sarcini rău intenționate în timp ce solicită permisiuni pentru a ocoli garanțiile de accesibilitate ale Google.

După instalare, RatOn escaladează privilegiile solicitând drepturi de administrare a dispozitivului, servicii de accesibilitate și acces la contacte și setări de sistem. Apoi, preia componente malware suplimentare, inclusiv malware-ul NFSkate documentat anterior, care gestionează atacurile NFC relay.

Funcții avansate de preluare a contului

RatOn demonstrează o înțelegere profundă a obiectivelor sale. Odată activ, poate:

  • Lansează aplicații de criptomonedă și deblochează-le folosind PIN-uri furate.
  • Interacționează cu setările de securitate din aplicație.
  • Extrageți fraze secrete de recuperare.

Aceste date sunt înregistrate prin intermediul unui keylogger încorporat și trimise către servere controlate de atacatori, permițând control deplin asupra portofelelor cripto compromise. În special, baza de cod RatOn nu prezintă nicio suprapunere cu alte familii de programe malware bancare pentru Android, ceea ce sugerează că a fost dezvoltat de la zero.

Comenzi și operațiuni acceptate

RatOn acceptă o gamă largă de comenzi care permit atacatorilor să manipuleze extensiv dispozitivele infectate. Printre cele mai notabile se numără:

  • send_push – trimite notificări push false
  • app_inject – modifică lista de aplicații vizate
  • transfer – executa fraudă ATS prin George Česko
  • nfs – descărcați și rulați malware-ul NFSkate
  • screen_lock – modifică timpul de așteptare pentru blocarea dispozitivului
  • blocare – blocați dispozitivul de la distanță
  • înregistrare/afișare – controlează sesiunile de difuzare a ecranului
  • send_sms – trimite mesaje SMS prin serviciile de accesibilitate
  • add_contact – creează contacte noi
  • update_device – extrage amprentele dispozitivului și listele de aplicații instalate

Focalizare regională și strategie pentru actorii amenințători

Cercetătorii observă că activitatea RatOn este concentrată în prezent în Republica Cehă, Slovacia urmând să fie probabil următoarea țintă. Decizia de a se concentra pe o singură aplicație bancară regională rămâne neclară. Cu toate acestea, transferurile automate care necesită numere de cont locale sugerează cooperarea cu rețelele locale de transferuri de bani.

Trending

Încălcarea datelor Salesloft

Vulnerabilitate, Amenințare persistentă avansată (APT)
Un atac cibernetic la scară largă a compromis integrarea Salesloft cu agentul de chat Drift AI, permițând hackerilor să fure token-uri OAuth și să actualizeze datele. Actorul amenințător, identificat ca UNC6395, a exploatat aceste token-uri furate pentru a încălca mediile clienților Salesforce. Experții în securitate au identificat peste 700 de organizații ca fiind potențial afectate....

Cele mai văzute

Se încarcă...