Multi-License Discount Quote
Banta sa Database Trojan sa pagbabangko RatOn Android Malware

RatOn Android Malware

Sa pamamagitan ng Favila sa Trojan sa pagbabangko, Mobile Malware
Isalin To:

Ang isang bagong Android malware na tinatawag na RatOn ay mabilis na nag-evolve mula sa isang simpleng Near Field Communication (NFC) relay tool tungo sa isang sopistikadong remote access trojan (RAT). Sa pamamagitan ng paggana ng Automated Transfer System (ATS), mga overlay na module ng pag-atake, at mga feature na tulad ng ransomware, umuusbong ang RatOn bilang isa sa mga pinaka-versatile na banta na nagta-target sa mga mobile device.

Isang Natatanging Kumbinasyon ng Mga Attack Vector

Namumukod-tangi ang RatOn dahil pinagsasama nito ang maraming nakakahamak na diskarte sa isang balangkas:

  • Mga overlay na pag-atake upang magnakaw ng mga kredensyal.
  • Automated money transfers (ATS) para maubos ang mga banking account.
  • Mga kakayahan ng NFC relay sa pamamagitan ng Ghost Tap technique.

Dahil sa kumbinasyong ito, lubhang mapanganib ang RatOn kumpara sa mga karaniwang Android banking trojan.

Mga Target: Banking at Crypto Apps

Ang malware ay binuo gamit ang account takeover function na partikular na nagta-target ng cryptocurrency wallet apps gaya ng MetaMask, Trust, Blockchain.com, at Phantom. Pinagsasamantalahan din nito ang George Česko, isang banking app na sikat sa Czech Republic, upang i-automate ang mga mapanlinlang na paglilipat.

Higit pa sa pagnanakaw sa pananalapi, maaaring i-lock ng RatOn ang mga device at mag-deploy ng mga pekeng ransom screen. Ang mga overlay na ito ay ginagaya ang mga mensahe ng pangingikil, inaakusahan ang mga biktima ng pagtingin o pamamahagi ng ilegal na nilalaman, at humihingi ng $200 na pagbabayad ng cryptocurrency sa loob ng dalawang oras. Ang ganitong mga taktika sa pamimilit ay hindi lamang pinipilit ang mga user ngunit lumilikha din ng mga pagkakataon para sa mga umaatake na makuha ang mga PIN code at direktang ikompromiso ang mga wallet na app.

Aktibong Pag-unlad at Mga Taktika sa Paglaganap

Ang unang RatOn sample ay lumabas noong Hulyo 5, 2025, na may mga karagdagang bersyon na naobserbahan hanggang Agosto 29, 2025, na nagpapahiwatig ng patuloy na pag-unlad. Umaasa ang pamamahagi sa mga pekeng listahan ng Google Play Store na nagpapanggap bilang pang-adult na bersyon ng TikTok (TikTok 18+). Ang mga dropper app na ito ay nag-i-install ng mga nakakahamak na payload habang humihiling ng mga pahintulot na i-bypass ang mga pananggalang sa pagiging naa-access ng Google.

Pagkatapos ng pag-install, pinalalaki ng RatOn ang mga pribilehiyo sa pamamagitan ng paghiling ng mga karapatan sa pangangasiwa ng device, mga serbisyo sa pagiging naa-access, at pag-access sa mga contact at setting ng system. Pagkatapos ay kumukuha ito ng mga karagdagang bahagi ng malware, kabilang ang dati nang nadokumentong NFSkate malware, na humahawak sa mga pag-atake ng NFC relay.

Advanced na Account Takeover Capabilities

Ang RatOn ay nagpapakita ng malalim na pag-unawa sa mga target nito. Kapag aktibo, maaari itong:

  • Ilunsad ang mga cryptocurrency app at i-unlock ang mga ito gamit ang mga ninakaw na PIN.
  • Makipag-ugnayan sa mga setting ng seguridad ng in-app.
  • I-extract ang mga lihim na parirala sa pagbawi.

Naka-log ang data na ito sa pamamagitan ng built-in na keylogger at ipinadala sa mga server na kinokontrol ng attacker, na nagbibigay-daan sa ganap na kontrol sa mga nakompromisong crypto wallet. Kapansin-pansin, ang codebase ng RatOn ay nagpapakita ng walang overlap sa iba pang mga pamilya ng malware sa pagbabangko ng Android, na nagmumungkahi na ito ay binuo mula sa simula.

Mga Sinusuportahang Command at Operations

Sinusuportahan ng RatOn ang isang malawak na hanay ng mga utos na nagpapahintulot sa mga umaatake na manipulahin ang mga nahawaang device nang husto. Ang ilan sa mga pinakakilala ay kinabibilangan ng:

  • send_push – maghatid ng mga pekeng push notification
  • app_inject – baguhin ang listahan ng mga naka-target na app
  • paglipat – magsagawa ng pandaraya sa ATS sa pamamagitan ng George Česko
  • nfs – i-download at patakbuhin ang NFSkate malware
  • screen_lock – baguhin ang timeout ng lock ng device
  • lock – i-lock ang device nang malayuan
  • record/display – kontrolin ang screen casting session
  • send_sms – magpadala ng mga mensaheng SMS sa pamamagitan ng mga serbisyo sa pagiging naa-access
  • add_contact – lumikha ng mga bagong contact
  • update_device – i-exfiltrate ang mga fingerprint ng device at mga naka-install na listahan ng app

Panrehiyong Focus at Threat Actor Strategy

Napansin ng mga mananaliksik na ang aktibidad ng RatOn ay kasalukuyang puro sa Czech Republic, na ang Slovakia ay malamang na ang susunod na target. Ang desisyon na tumuon sa isang solong regional banking application ay nananatiling hindi maliwanag. Gayunpaman, ang mga awtomatikong paglilipat na nangangailangan ng mga lokal na numero ng account ay nagmumungkahi ng pakikipagtulungan sa mga lokal na network ng money mule.

Trending

Pinaka Nanood

Naglo-load...