Злонамерни софтвер RatOn за Андроид
Нови Андроид малвер под називом RatOn брзо се развио од једноставног алата за релеј комуникације блиског поља (NFC) до софистицираног тројанца за даљински приступ (RAT). Са својом функционалношћу система за аутоматизовани пренос (ATS), модулима за преклапање напада и карактеристикама сличним ransomware-у, RatOn се појављује као једна од најсвестранијих претњи усмерених на мобилне уређаје.
Преглед садржаја
Јединствена комбинација вектора напада
РатОн се истиче јер спаја више злонамерних техника у један оквир:
- Преклапајући напади ради крађе акредитива.
- Аутоматизовани трансфери новца (АТС) за пражњење банковних рачуна.
- NFC могућности релеја путем Ghost Tap технике.
Ова комбинација чини RatOn веома опасним у поређењу са типичним Андроид банкарским тројанцима.
Циљеви: Банкарске и крипто апликације
Злонамерни софтвер је направљен са функцијама преузимања налога које посебно циљају апликације за криптовалуте као што су MetaMask, Trust, Blockchain.com и Phantom. Такође користи George Česko, банкарску апликацију популарну у Чешкој, за аутоматизацију преварних трансфера.
Поред финансијске крађе, РатОн може да закључава уређаје и поставља лажне екране за откуп. Ови прекривачи имитирају поруке за изнуду, оптужујући жртве да гледају или дистрибуирају илегални садржај и захтевају исплату од 200 долара у криптовалути у року од два сата. Такве тактике присиле не само да врше притисак на кориснике, већ стварају и могућности за нападаче да ухвате ПИН кодове и директно угрозе апликације новчаника.
Тактике активног развоја и ширења
Први узорак RatOn-а појавио се 5. јула 2025. године, а додатне верзије су примећене све до 29. августа 2025. године, што указује на континуирани развој. Дистрибуција се ослања на лажне листе на Google Play продавници које се представљају као верзија TikTok-а за одрасле (TikTok 18+). Ове апликације за преузимање инсталирају злонамерне корисне садржаје док траже дозволе да би заобишле Google-ове мере заштите приступачности.
Након инсталације, RatOn ескалира привилегије тако што захтева права за администрирање уређаја, услуге приступачности и приступ контактима и системским подешавањима. Затим преузима додатне компоненте злонамерног софтвера, укључујући претходно документовани злонамерни софтвер NFSkate, који се бави NFC релејним нападима.
Напредне могућности преузимања налога
РатОн показује дубоко разумевање својих циљева. Када је активан, може:
- Покрените апликације за криптовалуте и откључајте их помоћу украдених ПИН-ова.
- Интеракција са безбедносним подешавањима у апликацији.
- Извуците тајне фразе за опоравак.
Ови подаци се бележе путем уграђеног кејлогера и шаљу на сервере које контролишу нападачи, омогућавајући потпуну контролу над угроженим крипто новчаницима. Приметно је да кодна база компаније RatOn не показује преклапање са другим породицама злонамерних програма за Андроид банкарство, што сугерише да је развијена од нуле.
Подржане команде и операције
RatOn подржава широк спектар команди које омогућавају нападачима да опширно манипулишу зараженим уређајима. Неке од најзначајнијих укључују:
- send_push – доставља лажне push обавештења
- app_inject – измени листу циљаних апликација
- трансфер – извршити АТС превару преко Ђорђа Ческа
- nfs – преузмите и покрените NFSkate злонамерни софтвер
- screen_lock – мења време чекања за закључавање уређаја
- закључај – даљинско закључавање уређаја
- снимање/приказ – контрола сесија преноса екрана
- send_sms – шаљите СМС поруке путем услуга приступачности
- add_contact – креирање нових контаката
- update_device – издваја отиске прстију уређаја и листе инсталираних апликација
Регионални фокус и стратегија актера претње
Истраживачи напомињу да је активност компаније RatOn тренутно концентрисана у Чешкој Републици, а Словачка ће вероватно бити следећа мета. Одлука о фокусирању на јединствену регионалну банкарску апликацију остаје нејасна. Међутим, аутоматизовани трансфери који захтевају локалне бројеве рачуна указују на сарадњу са локалним мрежама „мајсторских мазги“.
