Škodlivý softvér RatOn pre Android
Nový malvér pre Android s názvom RatOn sa rýchlo vyvinul z jednoduchého nástroja na prenos dát cez Near Field Communication (NFC) na sofistikovaného trójskeho koňa pre vzdialený prístup (RAT). Vďaka funkcii automatizovaného prenosového systému (ATS), modulom prekrytia a funkciám podobným ransomvéru sa RatOn stáva jednou z najuniverzálnejších hrozieb zameraných na mobilné zariadenia.
Obsah
Unikátna kombinácia útočných vektorov
RatOn vyniká tým, že spája viacero škodlivých techník do jedného frameworku:
- Prekrývajúce útoky na krádež prihlasovacích údajov.
- Automatizované prevody peňazí (ATS) na vyčerpanie bankových účtov.
- Možnosti prenosu NFC prostredníctvom techniky Ghost Tap.
Táto kombinácia robí RatOn veľmi nebezpečným v porovnaní s typickými bankovými trójskymi koňmi pre Android.
Ciele: Bankové a kryptomenové aplikácie
Malvér je vytvorený s funkciami na prevzatie kontroly nad účtami, ktoré sú špecificky zamerané na aplikácie kryptomenových peňaženiek, ako sú MetaMask, Trust, Blockchain.com a Phantom. Taktiež zneužíva bankovú aplikáciu George Česko, populárnu v Českej republike, na automatizáciu podvodných prevodov.
Okrem finančných krádeží dokáže RatOn uzamknúť zariadenia a nasadiť falošné obrazovky s výzvou na výkupné. Tieto prekrytia napodobňujú vydieračské správy, obviňujú obete zo zobrazovania alebo šírenia nelegálneho obsahu a požadujú platbu kryptomeny vo výške 200 dolárov do dvoch hodín. Takéto nátlakové taktiky nielenže vyvíjajú tlak na používateľov, ale vytvárajú aj príležitosti pre útočníkov na získanie PIN kódov a priame ohrozenie aplikácií peňaženiek.
Taktiky aktívneho rozvoja a šírenia
Prvá vzorka RatOn sa objavila 5. júla 2025 a ďalšie verzie boli pozorované až 29. augusta 2025, čo naznačuje prebiehajúci vývoj. Distribúcia sa spolieha na falošné záznamy v Obchode Google Play, ktoré sa vydávajú za verziu TikTok pre dospelých (TikTok 18+). Tieto aplikácie na ukladanie dát inštalujú škodlivé dáta a zároveň vyžadujú povolenia na obídenie bezpečnostných opatrení spoločnosti Google týkajúcich sa prístupnosti.
Po inštalácii RatOn zvyšuje privilégiá vyžiadaním si práv na správu zariadenia, služieb prístupnosti a prístupu ku kontaktom a systémovým nastaveniam. Následne načíta ďalšie komponenty malvéru vrátane predtým zdokumentovaného malvéru NFSkate, ktorý sa zaoberá útokmi NFC relay.
Pokročilé možnosti prevzatia účtu
RatOn preukazuje hlboké pochopenie svojich cieľov. Po aktivácii dokáže:
- Spúšťajte aplikácie s kryptomenami a odomykajte ich pomocou ukradnutých PIN kódov.
- Interakcia s nastaveniami zabezpečenia v aplikácii.
- Extrahujte tajné frázy na zotavenie.
Tieto údaje sa zaznamenávajú prostredníctvom vstavaného keyloggeru a odosielajú sa na servery ovládané útočníkom, čo umožňuje plnú kontrolu nad napadnutými krypto peňaženkami. Je pozoruhodné, že kódová základňa RatOn sa neprekrýva s inými rodinami malvéru pre bankovníctvo pre Android, čo naznačuje, že bol vyvinutý od nuly.
Podporované príkazy a operácie
RatOn podporuje širokú škálu príkazov, ktoré útočníkom umožňujú rozsiahlu manipuláciu s infikovanými zariadeniami. Medzi najvýznamnejšie patria:
- send_push – doručovať falošné push notifikácie
- app_inject – úprava zoznamu cieľových aplikácií
- prevod – vykonať ATS podvod cez George Česko
- nfs – stiahnite a spustite malvér NFSkate
- screen_lock – zmeniť časový limit uzamknutia zariadenia
- zamknúť – uzamknúť zariadenie na diaľku
- nahrávanie/zobrazovanie – ovládanie relácií prenosu obrazovky
- send_sms – odosielanie SMS správ prostredníctvom služieb prístupnosti
- add_contact – vytvoriť nové kontakty
- update_device – získava odtlačky prstov zariadení a zoznamy nainštalovaných aplikácií
Regionálne zameranie a stratégia aktéra hrozby
Výskumníci poznamenávajú, že aktivity RatOn sú v súčasnosti sústredené v Českej republike a Slovensko bude pravdepodobne ďalším cieľom. Rozhodnutie zamerať sa na jednu regionálnu bankovú aplikáciu zostáva nejasné. Automatizované prevody vyžadujúce lokálne čísla účtov však naznačujú spoluprácu s lokálnymi sieťami peňažných mulíc.
