Знижка на кілька ліцензій
База даних загроз Банківський троян Шкідливе програмне забезпечення RatOn для Android

Шкідливе програмне забезпечення RatOn для Android

До Favila року в Банківський троян, Мобільні шкідливі програми році
Перекласти на:

Нове шкідливе програмне забезпечення для Android під назвою RatOn швидко перетворилося з простого інструменту ретрансляції ближнього польового зв'язку (NFC) на складного трояна віддаленого доступу (RAT). Завдяки своїй функціональності автоматизованої системи передачі даних (ATS), модулям атаки з накладанням та функціям, подібним до програм-вимагачів, RatOn стає однією з найбільш універсальних загроз, спрямованих на мобільні пристрої.

Унікальна комбінація векторів атаки

RatOn вирізняється тим, що об'єднує кілька шкідливих методів в один фреймворк:

  • Накладні атаки для крадіжки облікових даних.
  • Автоматизовані грошові перекази (АТП) для знешкодження банківських рахунків.
  • Можливості NFC-ретрансляції за допомогою техніки Ghost Tap.

Таке поєднання робить RatOn надзвичайно небезпечним порівняно з типовими банківськими троянами для Android.

Цілі: Банківські та криптовалютні додатки

Шкідливе програмне забезпечення створене з функціями захоплення облікового запису, які спеціально націлені на додатки для криптовалютних гаманців, такі як MetaMask, Trust, Blockchain.com та Phantom. Воно також використовує George Česko, банківський додаток, популярний у Чеській Республіці, для автоматизації шахрайських переказів.

Окрім фінансових крадіжок, RatOn може блокувати пристрої та розміщувати фальшиві екрани викупу. Ці накладання імітують повідомлення з вимогою вимагати, звинувачуючи жертв у перегляді або розповсюдженні незаконного контенту та вимагаючи сплатити криптовалютою у розмірі 200 доларів протягом двох годин. Така тактика примусу не лише тисне на користувачів, але й створює можливості для зловмисників захоплювати PIN-коди та безпосередньо скомпрометувати додатки-гаманці.

Тактики активного розвитку та поширення

Перший зразок RatOn з'явився 5 липня 2025 року, а додаткові версії спостерігалися аж до 29 серпня 2025 року, що свідчить про постійний розвиток. Розповсюдження базується на підроблених списках у Google Play Store, які видають себе за дорослу версію TikTok (TikTok 18+). Ці програми-дроппери встановлюють шкідливі корисні навантаження, запитуючи дозволи для обходу заходів безпеки доступності Google.

Після встановлення RatOn підвищує привілеї, запитуючи права адміністрування пристрою, доступ до служб спеціальних можливостей, а також доступ до контактів і системних налаштувань. Потім він завантажує додаткові компоненти шкідливого програмного забезпечення, включаючи раніше задокументоване шкідливе програмне забезпечення NFSkate, яке обробляє атаки NFC-ретрансляції.

Розширені можливості поглинання облікового запису

RatOn демонструє глибоке розуміння своїх цілей. Після активації він може:

  • Запускайте криптовалютні програми та розблоковуйте їх за допомогою вкрадених PIN-кодів.
  • Взаємодіяти з налаштуваннями безпеки в додатку.
  • Витягніть секретні фрази відновлення.

Ці дані реєструються за допомогою вбудованого кейлогера та надсилаються на сервери, контрольовані зловмисником, що дозволяє повний контроль над скомпрометованими криптогаманцями. Примітно, що кодова база RatOn не перетинається з іншими сімействами шкідливих програм для банків Android, що свідчить про її розробку з нуля.

Підтримувані команди та операції

RatOn підтримує широкий спектр команд, які дозволяють зловмисникам маніпулювати зараженими пристроями. Деякі з найвідоміших включають:

  • send_push – доставляти фальшиві push-сповіщення
  • app_inject – змінити список цільових програм
  • передача – здійснити шахрайство ATS через George Česko
  • nfs – завантаження та запуск шкідливого програмного забезпечення NFSkate
  • screen_lock – змінити час очікування блокування пристрою
  • блокування – дистанційне блокування пристрою
  • запис/відображення – керування сеансами трансляції екрана
  • send_sms – надсилати SMS-повідомлення через служби доступності
  • add_contact – створити нові контакти
  • update_device – отримати відбитки пальців пристрою та списки встановлених програм

Регіональний фокус та стратегія дійових осіб, що загрожують

Дослідники зазначають, що діяльність RatOn наразі зосереджена в Чеській Республіці, а наступною ціллю, ймовірно, стане Словаччина. Рішення зосередитися на єдиному регіональному банківському додатку залишається неясним. Однак автоматизовані перекази, що вимагають локальних номерів рахунків, свідчать про співпрацю з місцевими мережами грошових мулів.

В тренді

Витік даних Salesloft

Вразливість, Розширена постійна загроза (APT)
Масштабна кібератака скомпрометувала інтеграцію Salesloft з агентом чату Drift AI, що дозволило хакерам викрасти OAuth та токени оновлення. Зловмисник, якого відстежували як UNC6395, використав ці викрадені токени для порушення середовищ клієнтів Salesforce. Експерти з безпеки виявили понад 700 організацій як потенційно постраждалих. Хронологія порушення Розслідування показують, що шкідлива...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
35,330
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...