Phần mềm độc hại RatOn Android

Một phần mềm độc hại Android mới có tên RatOn đã nhanh chóng phát triển từ một công cụ chuyển tiếp Giao tiếp tầm gần (NFC) đơn giản thành một trojan truy cập từ xa (RAT) tinh vi. Với chức năng Hệ thống truyền tải tự động (ATS), các mô-đun tấn công lớp phủ và các tính năng tương tự ransomware, RatOn đang nổi lên như một trong những mối đe dọa linh hoạt nhất nhắm vào các thiết bị di động.

Sự kết hợp độc đáo của các vectơ tấn công

RatOn nổi bật vì nó kết hợp nhiều kỹ thuật độc hại vào một khuôn khổ:

• Tấn công chồng chéo để đánh cắp thông tin đăng nhập.
• Chuyển tiền tự động (ATS) để rút tiền khỏi tài khoản ngân hàng.
• Khả năng chuyển tiếp NFC thông qua kỹ thuật Ghost Tap.

Sự kết hợp này khiến RatOn trở nên cực kỳ nguy hiểm so với các trojan ngân hàng Android thông thường.

Mục tiêu: Ứng dụng ngân hàng và tiền điện tử

Phần mềm độc hại này được xây dựng với các chức năng chiếm đoạt tài khoản, nhắm mục tiêu cụ thể vào các ứng dụng ví tiền điện tử như MetaMask, Trust, Blockchain.com và Phantom. Nó cũng khai thác George Česko, một ứng dụng ngân hàng phổ biến tại Cộng hòa Séc, để tự động hóa các giao dịch chuyển tiền gian lận.

Ngoài việc đánh cắp tài chính, RatOn còn có thể khóa thiết bị và triển khai màn hình đòi tiền chuộc giả mạo. Những lớp phủ này mô phỏng các tin nhắn tống tiền, cáo buộc nạn nhân xem hoặc phát tán nội dung bất hợp pháp, và yêu cầu thanh toán 200 đô la tiền điện tử trong vòng hai giờ. Những chiến thuật ép buộc này không chỉ gây áp lực cho người dùng mà còn tạo cơ hội cho kẻ tấn công đánh cắp mã PIN và xâm nhập trực tiếp vào ứng dụng ví.

Chiến thuật phát triển và lan truyền tích cực

Mẫu RatOn đầu tiên xuất hiện vào ngày 5 tháng 7 năm 2025, với các phiên bản bổ sung được quan sát muộn nhất là vào ngày 29 tháng 8 năm 2025, cho thấy sự phát triển đang diễn ra. Việc phân phối dựa trên các danh sách Cửa hàng Google Play giả mạo phiên bản TikTok dành cho người lớn (TikTok 18+). Các ứng dụng dropper này cài đặt các phần mềm độc hại đồng thời yêu cầu quyền truy cập để vượt qua các biện pháp bảo vệ khả năng truy cập của Google.

Sau khi cài đặt, RatOn sẽ leo thang đặc quyền bằng cách yêu cầu quyền quản trị thiết bị, dịch vụ trợ năng và quyền truy cập vào danh bạ và cài đặt hệ thống. Sau đó, nó sẽ tải xuống các thành phần phần mềm độc hại bổ sung, bao gồm cả phần mềm độc hại NFSkate đã được ghi nhận trước đó, chuyên xử lý các cuộc tấn công chuyển tiếp NFC.

Khả năng tiếp quản tài khoản nâng cao

RatOn thể hiện sự hiểu biết sâu sắc về mục tiêu của mình. Khi được kích hoạt, nó có thể:

• Khởi chạy ứng dụng tiền điện tử và mở khóa bằng mã PIN bị đánh cắp.
• Tương tác với các cài đặt bảo mật trong ứng dụng.
• Trích xuất cụm từ khôi phục bí mật.

Dữ liệu này được ghi lại thông qua một keylogger tích hợp sẵn và gửi đến các máy chủ do kẻ tấn công kiểm soát, cho phép kiểm soát hoàn toàn các ví tiền điện tử bị xâm phạm. Đáng chú ý, cơ sở mã của RatOn không hề trùng lặp với các họ phần mềm độc hại ngân hàng Android khác, cho thấy nó được phát triển từ đầu.

Các lệnh và thao tác được hỗ trợ

RatOn hỗ trợ một loạt các lệnh cho phép kẻ tấn công thao túng các thiết bị bị nhiễm một cách rộng rãi. Một số lệnh đáng chú ý nhất bao gồm:

• send_push – gửi thông báo đẩy giả mạo
• app_inject – sửa đổi danh sách các ứng dụng được nhắm mục tiêu
• chuyển khoản – thực hiện gian lận ATS thông qua George Česko
• nfs – tải xuống và chạy phần mềm độc hại NFSkate
• screen_lock – thay đổi thời gian chờ khóa thiết bị
• khóa – khóa thiết bị từ xa
• ghi/hiển thị – điều khiển các phiên truyền hình màn hình
• send_sms – gửi tin nhắn SMS thông qua các dịch vụ trợ năng
• add_contact – tạo liên hệ mới
• update_device – trích xuất dấu vân tay thiết bị và danh sách ứng dụng đã cài đặt

Chiến lược tập trung khu vực và đối phó với tác nhân đe dọa

Các nhà nghiên cứu lưu ý rằng hoạt động của RatOn hiện đang tập trung ở Cộng hòa Séc, và Slovakia có thể là mục tiêu tiếp theo. Quyết định tập trung vào một ứng dụng ngân hàng khu vực duy nhất vẫn chưa rõ ràng. Tuy nhiên, việc chuyển khoản tự động yêu cầu số tài khoản địa phương cho thấy sự hợp tác với các mạng lưới lừa tiền địa phương.