Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Bankacılık Truva Atı RatOn Android Kötü Amaçlı Yazılım

RatOn Android Kötü Amaçlı Yazılım

Favila'de Bankacılık Truva Atı, Mobil Kötü Amaçlı Yazılım'de
Çevir:

RatOn adlı yeni bir Android kötü amaçlı yazılımı, basit bir Yakın Alan İletişimi (NFC) aktarım aracından, gelişmiş bir uzaktan erişim trojanına (RAT) hızla dönüştü. Otomatik Aktarım Sistemi (ATS) işlevi, üst üste binen saldırı modülleri ve fidye yazılımı benzeri özellikleriyle RatOn, mobil cihazları hedef alan en çok yönlü tehditlerden biri olarak ortaya çıkıyor.

Saldırı Vektörlerinin Benzersiz Bir Kombinasyonu

RatOn, birden fazla kötü amaçlı tekniği tek bir çatı altında birleştirmesiyle öne çıkıyor:

  • Kimlik bilgilerini çalmak için yapılan üst üste bindirme saldırıları .
  • Banka hesaplarını boşaltmak için otomatik para transferleri (ATS) .
  • Ghost Tap tekniği ile NFC röle yetenekleri .

Bu kombinasyon RatOn'u tipik Android bankacılık trojanlarıyla karşılaştırıldığında oldukça tehlikeli hale getiriyor.

Hedefler: Bankacılık ve Kripto Uygulamaları

Kötü amaçlı yazılım, özellikle MetaMask, Trust, Blockchain.com ve Phantom gibi kripto para cüzdan uygulamalarını hedef alan hesap ele geçirme işlevleriyle oluşturulmuştur. Ayrıca, Çek Cumhuriyeti'nde popüler bir bankacılık uygulaması olan George Česko'yu kullanarak sahte transferleri otomatikleştirir.

RatOn, finansal hırsızlığın ötesinde, cihazları kilitleyebilir ve sahte fidye ekranları yerleştirebilir. Bu ekranlar, mağdurları yasa dışı içerik görüntülemek veya dağıtmakla suçlayan gasp mesajlarını taklit eder ve iki saat içinde 200 dolarlık kripto para ödemesi talep eder. Bu tür zorlama taktikleri, kullanıcıları baskı altına almakla kalmaz, aynı zamanda saldırganların PIN kodlarını ele geçirip cüzdan uygulamalarını doğrudan ele geçirmelerine de fırsat tanır.

Aktif Geliştirme ve Yayılma Taktikleri

İlk RatOn örneği 5 Temmuz 2025'te ortaya çıktı ve 29 Ağustos 2025'e kadar ek sürümler görüldü; bu da geliştirmenin devam ettiğini gösteriyor. Dağıtım, TikTok'un yetişkin sürümünü (TikTok 18+) taklit eden sahte Google Play Store listelerine dayanıyor. Bu dropper uygulamaları, Google'ın erişilebilirlik güvenlik önlemlerini aşmak için izin isterken kötü amaçlı yükler yüklüyor.

Kurulumdan sonra RatOn, cihaz yönetimi hakları, erişilebilirlik hizmetleri ve kişilere ve sistem ayarlarına erişim talep ederek ayrıcalıkları artırır. Ardından, daha önce belgelenen ve NFC aktarım saldırılarını yöneten NFSkate kötü amaçlı yazılımı da dahil olmak üzere ek kötü amaçlı yazılım bileşenlerini getirir.

Gelişmiş Hesap Devralma Yetenekleri

RatOn, hedef kitlesini derinlemesine anladığını gösteriyor. Aktif hale geldiğinde şunları yapabiliyor:

  • Kripto para uygulamalarını başlatın ve çalınan PIN kodlarını kullanarak bunların kilidini açın.
  • Uygulama içi güvenlik ayarlarıyla etkileşim kurun.
  • Gizli kurtarma ifadelerini çıkarın.

Bu veriler, yerleşik bir tuş kaydedici aracılığıyla kaydedilip saldırganların kontrolündeki sunuculara gönderilerek, ele geçirilen kripto cüzdanları üzerinde tam kontrol sağlıyor. Özellikle, RatOn'un kod tabanı diğer Android bankacılık kötü amaçlı yazılım aileleriyle hiçbir örtüşme göstermediğinden, sıfırdan geliştirildiği anlaşılıyor.

Desteklenen Komutlar ve İşlemler

RatOn, saldırganların enfekte cihazları kapsamlı bir şekilde manipüle etmelerine olanak tanıyan çok çeşitli komutları destekler. Bunlardan en dikkat çekici olanları şunlardır:

  • send_push – sahte push bildirimleri gönderir
  • app_inject – hedeflenen uygulamaların listesini değiştir
  • transfer – George Česko aracılığıyla ATS dolandırıcılığını gerçekleştirin
  • nfs – NFSkate kötü amaçlı yazılımını indirin ve çalıştırın
  • screen_lock – cihaz kilitleme zaman aşımını değiştirir
  • kilit – cihazı uzaktan kilitle
  • kayıt/görüntüleme – ekran yayın oturumlarını kontrol etme
  • send_sms – erişilebilirlik hizmetleri aracılığıyla SMS mesajları gönderin
  • add_contact – yeni kişiler oluştur
  • update_device – cihaz parmak izlerini ve yüklü uygulama listelerini sızdırır

Bölgesel Odak ve Tehdit Aktörü Stratejisi

Araştırmacılar, RatOn faaliyetlerinin şu anda Çek Cumhuriyeti'nde yoğunlaştığını ve bir sonraki hedefin muhtemelen Slovakya olacağını belirtiyor. Tek bir bölgesel bankacılık uygulamasına odaklanma kararı henüz netlik kazanmadı. Ancak, yerel hesap numarası gerektiren otomatik transferler, yerel para taşıyıcı ağlarıyla iş birliği yapıldığını gösteriyor.

trend

Salesloft Veri İhlali

Güvenlik Açığı, Gelişmiş Sürekli Tehdit (APT)
Büyük çaplı bir siber saldırı, Salesloft'un Drift AI sohbet aracısıyla entegrasyonunu tehlikeye atarak, bilgisayar korsanlarının OAuth'u çalmasına ve belirteçleri yenilemesine olanak sağladı. UNC6395 olarak izlenen tehdit aktörü, çalınan bu belirteçleri kullanarak Salesforce müşteri ortamlarına sızdı. Güvenlik uzmanları, 700'den fazla kuruluşun potansiyel olarak etkilendiğini tespit etti....

En çok görüntülenen

Yükleniyor...