Скидка на мультилицензию
База данных угроз Банковский троян Вредоносное ПО RatOn для Android

Вредоносное ПО RatOn для Android

К Favila году в Банковский троян, Вредоносное ПО для мобильных устройств году
Перевести на:

Новый вредоносный код для Android под названием RatOn быстро превратился из простого устройства для передачи данных по технологии NFC (Near Field Communication) в сложный троян для удалённого доступа (RAT). Благодаря функционалу автоматизированной системы передачи данных (ATS), модулям наложения атак и функциям, характерным для программ-вымогателей, RatOn становится одной из самых универсальных угроз для мобильных устройств.

Уникальное сочетание векторов атаки

RatOn выделяется тем, что объединяет несколько вредоносных техник в одну структуру:

  • Атаки с наложением данных для кражи учетных данных.
  • Автоматизированные денежные переводы (АТП) для опустошения банковских счетов.
  • Возможности ретрансляции NFC с помощью технологии Ghost Tap.

Такое сочетание делает RatOn крайне опасным по сравнению с типичными банковскими троянами Android.

Цели: банковские и крипто-приложения

Вредоносное ПО содержит функции захвата учётных записей, специально предназначенные для приложений криптовалютных кошельков, таких как MetaMask, Trust, Blockchain.com и Phantom. Оно также использует уязвимости популярного в Чехии банковского приложения George Česko для автоматизации мошеннических переводов.

Помимо финансовых краж, RatOn может блокировать устройства и размещать поддельные экраны с требованием выкупа. Эти наложения имитируют вымогательские сообщения, обвиняя жертв в просмотре или распространении нелегального контента и требуя выплатить 200 долларов в криптовалюте в течение двух часов. Такая тактика принуждения не только оказывает давление на пользователей, но и создаёт возможности для злоумышленников перехватывать PIN-коды и напрямую взламывать приложения-кошельки.

Тактика активного развития и распространения

Первый образец RatOn появился 5 июля 2025 года, а последующие версии были обнаружены лишь 29 августа 2025 года, что свидетельствует о продолжающейся разработке. Распространение осуществляется через поддельные страницы в Google Play Store, выдающие себя за версию TikTok для взрослых (TikTok 18+). Эти приложения-дропперы устанавливают вредоносные компоненты, запрашивая разрешения для обхода мер безопасности Google.

После установки RatOn повышает привилегии, запрашивая права администратора устройства, службы специальных возможностей, а также доступ к контактам и системным настройкам. Затем он загружает дополнительные вредоносные компоненты, включая ранее описанное вредоносное ПО NFSkate, которое обрабатывает атаки через NFC-ретранслятор.

Расширенные возможности захвата аккаунтов

RatOn демонстрирует глубокое понимание своих целей. После активации он может:

  • Запускайте криптовалютные приложения и разблокируйте их с помощью украденных PIN-кодов.
  • Взаимодействуйте с настройками безопасности в приложении.
  • Извлечь секретные фразы восстановления.

Эти данные регистрируются встроенным кейлоггером и отправляются на серверы, контролируемые злоумышленниками, что обеспечивает полный контроль над скомпрометированными криптокошельками. Примечательно, что кодовая база RatOn не пересекается с другими семействами вредоносных программ для банковского ПО для Android, что позволяет предположить, что программа была разработана с нуля.

Поддерживаемые команды и операции

RatOn поддерживает широкий спектр команд, позволяющих злоумышленникам широко манипулировать зараженными устройствами. Вот некоторые из наиболее примечательных:

  • send_push – отправка поддельных push-уведомлений
  • app_inject – изменить список целевых приложений
  • перевод – совершить мошенничество с АТС через Джорджа Ческо
  • nfs – загрузите и запустите вредоносное ПО NFSkate
  • screen_lock – изменить тайм-аут блокировки устройства
  • блокировка – удаленная блокировка устройства
  • запись/отображение – управление сеансами трансляции экрана
  • send_sms – отправка SMS-сообщений через службы доступности
  • add_contact – создать новые контакты
  • update_device – извлечь отпечатки устройств и списки установленных приложений

Региональный фокус и стратегия воздействия на субъектов угроз

Исследователи отмечают, что активность RatOn в настоящее время сосредоточена в Чехии, а следующей целью, вероятно, станет Словакия. Решение сосредоточиться на едином региональном банковском приложении пока неясно. Однако автоматизированные переводы, требующие номера местного счёта, указывают на сотрудничество с местными сетями «денежных мулов».

В тренде

Утечка данных Salesloft

Уязвимость, Расширенная постоянная угроза (APT)
Масштабная кибератака нарушила интеграцию Salesloft с чат-агентом Drift AI, что позволило хакерам украсть OAuth и токены обновления. Злоумышленник, известный как UNC6395, использовал украденные токены для взлома клиентских сред Salesforce. Эксперты по безопасности выявили более 700 организаций, потенциально пострадавших от атаки. Хронология нарушения Расследование показало, что вредоносная...

Мошенничество с поддельным сайтом приложения Aave

Мошеннические сайты
Интернет предлагает бесчисленные возможности, но он также подвергает пользователей постоянно растущему числу мошеннических схем. Киберпреступники постоянно создают мошеннические веб-сайты,...

Наиболее просматриваемые

Загрузка...