Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Trojan bankar RatOn Android Malware

RatOn Android Malware

Nga FavilaTrojan bankar, Malware celular
Përkthe në:

Një program i ri keqdashës për Android i quajtur RatOn ka evoluar me shpejtësi nga një mjet i thjeshtë transmetimi për Komunikim në Fushë të Afërt (NFC) në një trojan të sofistikuar me akses në distancë (RAT). Me funksionalitetin e tij të Sistemit të Transferimit Automatik (ATS), modulet e sulmit mbivendosës dhe veçoritë e ngjashme me ransomware, RatOn po shfaqet si një nga kërcënimet më të gjithanshme që synojnë pajisjet mobile.

Një kombinim unik i vektorëve të sulmit

RatOn dallohet sepse bashkon teknika të shumta dashakeqe në një kornizë të vetme:

  • Sulme mbivendosëse për të vjedhur kredencialet.
  • Transfertat automatike të parave (ATS) për të zbrazur llogaritë bankare.
  • Aftësitë e transmetimit NFC përmes teknikës Ghost Tap.

Ky kombinim e bën RatOn shumë të rrezikshëm në krahasim me trojanët tipikë bankarë të Android.

Synimet: Aplikacionet Bankare dhe Kriptomonedhave

Malware është ndërtuar me funksione përvetësimi llogarish që synojnë posaçërisht aplikacionet e portofoleve të kriptomonedhave si MetaMask, Trust, Blockchain.com dhe Phantom. Ai gjithashtu shfrytëzon George Česko, një aplikacion bankar popullor në Republikën Çeke, për të automatizuar transfertat mashtruese.

Përtej vjedhjes financiare, RatOn mund të bllokojë pajisjet dhe të vendosë ekrane të rreme për shpërblim. Këto mbivendosje imitojnë mesazhe zhvatjeje, duke akuzuar viktimat për shikimin ose shpërndarjen e përmbajtjes së paligjshme dhe duke kërkuar një pagesë prej 200 dollarësh në kriptomonedhë brenda dy orësh. Taktika të tilla shtrëngimi jo vetëm që i bëjnë presion përdoruesve, por gjithashtu krijojnë mundësi për sulmuesit që të kapin kodet PIN dhe të kompromentojnë drejtpërdrejt aplikacionet e portofolit.

Taktikat e Zhvillimit Aktiv dhe Përhapjes

Mostra e parë e RatOn u shfaq më 5 korrik 2025, me versione të tjera të vëzhguara deri më 29 gusht 2025, duke treguar zhvillim të vazhdueshëm. Shpërndarja mbështetet në lista të rreme të Google Play Store që imitojnë një version për të rritur të TikTok (TikTok 18+). Këto aplikacione dropper instalojnë ngarkesa dashakeqe ndërsa kërkojnë leje për të anashkaluar mbrojtjet e aksesueshmërisë së Google.

Pas instalimit, RatOn përshkallëzon privilegjet duke kërkuar të drejta administrimi të pajisjes, shërbime aksesueshmërie dhe akses në kontakte dhe cilësimet e sistemit. Pastaj merr komponentë shtesë të malware-it, duke përfshirë malware-in NFSkate të dokumentuar më parë, i cili trajton sulmet e transmetimit NFC.

Aftësi të Avancuara për Marrjen e Llogarisë

RatOn demonstron një kuptim të thellë të objektivave të tij. Pasi të jetë aktiv, ai mund të:

  • Hap aplikacionet e kriptomonedhave dhe zhbllokoji ato duke përdorur PIN-e të vjedhura.
  • Ndërveproni me cilësimet e sigurisë brenda aplikacionit.
  • Nxjerr fraza sekrete të rikuperimit.

Këto të dhëna regjistrohen përmes një regjistruesi të integruar të çelësave dhe dërgohen në servera të kontrolluar nga sulmuesit, duke lejuar kontroll të plotë mbi portofolet e kriptovalutave të kompromentuara. Veçanërisht, baza e kodit të RatOn nuk tregon mbivendosje me familjet e tjera të programeve keqdashëse bankare për Android, duke sugjeruar se është zhvilluar nga e para.

Komandat dhe Operacionet e Mbështetura

RatOn mbështet një gamë të gjerë komandash që u lejojnë sulmuesve të manipulojnë gjerësisht pajisjet e infektuara. Disa nga më të spikaturat përfshijnë:

  • send_push – dërgon njoftime të rreme push
  • app_inject – modifikoni listën e aplikacioneve të synuara
  • transferimi - ekzekutimi i mashtrimit ATS nëpërmjet George Česko
  • nfs – shkarkoni dhe ekzekutoni programin keqdashës NFSkate
  • screen_lock – ndryshon kohën e skadimit të bllokimit të pajisjes
  • kyç – kyç pajisjen nga distanca
  • regjistro/shfaq – kontrollo seancat e transmetimit të ekranit
  • send_sms – dërgoni mesazhe SMS përmes shërbimeve të aksesueshmërisë
  • add_contact – krijoni kontakte të reja
  • update_device – nxjerr gjurmët e gishtërinjve të pajisjes dhe listat e aplikacioneve të instaluara

Fokusi Rajonal dhe Strategjia e Aktorëve të Kërcënimit

Studiuesit vërejnë se aktiviteti i RatOn është aktualisht i përqendruar në Republikën Çeke, me Sllovakinë që ka të ngjarë të jetë objektivi i radhës. Vendimi për t'u përqendruar në një aplikacion të vetëm bankar rajonal mbetet i paqartë. Megjithatë, transfertat e automatizuara që kërkojnë numra llogarish lokale sugjerojnë bashkëpunim me rrjetet lokale të pagesave me para.

Në trend

Salesloft Data Breach

Cenueshmëria, Kërcënimi i avancuar i vazhdueshëm (APT)
Një sulm kibernetik në shkallë të gjerë ka kompromentuar integrimin e Salesloft me agjentin e bisedës Drift AI, duke u mundësuar hakerëve të vjedhin OAuth dhe të rifreskojnë tokenët. Aktori i kërcënimit, i gjurmuar si UNC6395, i shfrytëzoi këto tokenë të vjedhur për të shkelur mjediset e klientëve të Salesforce. Ekspertët e sigurisë kanë identifikuar mbi 700 organizata si të prekura...

Më e shikuara

Po ngarkohet...