Zlonamerna programska oprema RatOn za Android
Nova zlonamerna programska oprema za Android, imenovana RatOn, se je hitro razvila iz preprostega orodja za relejsko komunikacijo bližnjega polja (NFC) v sofisticiranega trojanca za oddaljeni dostop (RAT). S svojo funkcionalnostjo sistema za avtomatiziran prenos (ATS), moduli za prekrivne napade in funkcijami, podobnimi izsiljevalski programski opremi, se RatOn uveljavlja kot ena najbolj vsestranskih groženj, ki ciljajo na mobilne naprave.
Kazalo
Edinstvena kombinacija vektorjev napada
RatOn izstopa, ker združuje več zlonamernih tehnik v en sam okvir:
- Prekrivajoči napadi za krajo poverilnic.
- Avtomatizirani denarni prenosi (ATS) za praznjenje bančnih računov.
- Zmogljivosti NFC releja prek tehnike Ghost Tap.
Zaradi te kombinacije je RatOn zelo nevaren v primerjavi s tipičnimi bančnimi trojanci za Android.
Cilji: Bančne in kripto aplikacije
Zlonamerna programska oprema je zgrajena s funkcijami prevzema računov, ki so posebej usmerjene na aplikacije za kriptovalutne denarnice, kot so MetaMask, Trust, Blockchain.com in Phantom. Izkorišča tudi George Česko, bančno aplikacijo, priljubljeno na Češkem, za avtomatizacijo goljufivih nakazil.
Poleg finančne kraje lahko RatOn zaklene naprave in namesti lažne zaslone za odkupnino. Ti prekrivni elementi posnemajo izsiljevalska sporočila, žrtve obtožujejo ogledovanja ali distribucije nezakonitih vsebin in zahtevajo plačilo v kriptovaluti v višini 200 dolarjev v dveh urah. Takšne taktike prisile ne le pritiskajo na uporabnike, temveč napadalcem ustvarjajo tudi priložnosti za pridobitev PIN-kod in neposredno ogrožanje aplikacij denarnic.
Taktike aktivnega razvoja in širjenja
Prvi vzorec RatOn se je pojavil 5. julija 2025, dodatne različice pa so bile opažene vse do 29. avgusta 2025, kar kaže na nenehen razvoj. Distribucija se zanaša na lažne vnose v trgovini Google Play, ki se izdajajo za različico TikTok-a za odrasle (TikTok 18+). Te aplikacije za spuščanje nameščajo zlonamerne koristne obremenitve, hkrati pa zahtevajo dovoljenja za obhod Googlovih zaščitnih ukrepov za dostopnost.
Po namestitvi RatOn stopnjuje privilegije tako, da zahteva pravice za upravljanje naprave, storitve dostopnosti ter dostop do stikov in sistemskih nastavitev. Nato pridobi dodatne komponente zlonamerne programske opreme, vključno s prej dokumentirano zlonamerno programsko opremo NFSkate, ki obravnava napade NFC releja.
Napredne zmogljivosti prevzema računa
RatOn dokazuje poglobljeno razumevanje svojih ciljev. Ko je aktiven, lahko:
- Zaženite aplikacije za kriptovalute in jih odklenite z ukradenimi PIN-i.
- Interakcija z varnostnimi nastavitvami v aplikaciji.
- Izluščite skrivne fraze za obnovitev.
Ti podatki se beležijo prek vgrajenega keyloggerja in pošiljajo na strežnike, ki jih nadzoruje napadalec, kar omogoča popoln nadzor nad ogroženimi kripto denarnicami. Omeniti velja, da se kodna baza RatOn ne prekriva z drugimi družinami zlonamerne programske opreme za bančništvo za Android, kar kaže na to, da je bila razvita iz nič.
Podprti ukazi in operacije
RatOn podpira široko paleto ukazov, ki napadalcem omogočajo obsežno manipulacijo okuženih naprav. Med najbolj opazne spadajo:
- send_push – pošiljanje lažnih potisnih obvestil
- app_inject – spremeni seznam ciljnih aplikacij
- prenos – izvedite goljufije ATS prek Georgea Česko
- nfs – prenos in zagon zlonamerne programske opreme NFSkate
- screen_lock – spremeni časovno omejitev zaklepanja naprave
- zakleni – zakleni napravo na daljavo
- snemanje/prikaz – nadzor sej predvajanja zaslona
- send_sms – pošiljanje SMS sporočil prek storitev za dostopnost
- add_contact – ustvari nove stike
- update_device – pridobi prstne odtise naprave in sezname nameščenih aplikacij
Regionalni fokus in strategija akterjev grožnje
Raziskovalci ugotavljajo, da je dejavnost RatOn trenutno skoncentrirana na Češkem, naslednja tarča pa bo verjetno Slovaška. Odločitev o osredotočanju na eno samo regionalno bančno aplikacijo ostaja nejasna. Vendar pa avtomatizirani prenosi, ki zahtevajo lokalne številke računov, kažejo na sodelovanje z lokalnimi omrežji denarnih mul.
