Угроза RatOn: банковский троянец с автоматическими переводами и NFC-атаками

RatOn представляет собой уникальный пример эволюции вредоносного ПО, поскольку объединяет три ключевые атаки в одном пакете: автоматизированные переводы средств (ATS), перехват криптокошельков и классические оверлейные атаки. Особенностью является использование NFC-реле, что ранее не встречалось в сочетании с полнофункциональным банковским троянцем.

Первоначальное заражение происходит через фиктивные веб-сайты для взрослых, содержащие в названии элементы типа "TikTok18+". Эти ресурсы, ориентированные на чешскоязычную и словацкую аудиторию, напрямую размещают дроппер-приложение. Для обхода ограничений Android дроппер запрашивает разрешение на установку приложений из ненадлежащих источников, после чего развёртывает основной вредоносный модуль.

Технический анализ показал, что RatOn написан с нуля и не имеет явных совпадений с известными семействами вредоносных программ. Троянец использует многостадийную архитектуру: после установки дроппер запускает второй этап, который запрашивает критически важные разрешения, включая службу доступности и права администратора устройства. Затем следует третий этап - установка модуля NFSkate для проведения NFC-атак.

Ключевой особенностью RatOn является возможность полностью автоматизированного перевода средств через приложение чешского банка. Используя API accessibility, троянец имитирует действия пользователя: запускает банковское приложение, заполняет данные получателя, сумму перевода и подтверждает операцию с помощью перехваченного PIN-кода. Поддержка проверки и изменения лимитов переводов демонстрирует глубокое понимание злоумышленниками внутренней логики банковских приложений.

Для атак на криптокошельки RatOn поддерживает приложения MetaMask, Trust, Blockchain.com и Phantom. Троянец автоматически вводит компрометированный PIN-код, переходит в настройки безопасности и извлекает секретные фразы, которые затем передаются на сервер управления. Поддержка четырёх языков (английский, русский, чешский, словацкий) указывает на широкий географический охват.

Командный интерфейс троянца включает более 30 функций, от показа фиктивных уведомлений до блокировки устройства с требованием выкупа. Несмотря на наличие ransomware-функционала, аналитики отмечают его избыточность на фоне возможностей автоматических переводов.

Эксперты предполагают, что группа угрозщиков RAT-ON сотрудничает с местными денежными мулами в Чехии, что необходимо для отмывания средств через внутренние банковские счета. Сочетание целевых атак на банки с глобальными кампаниями против криптокошельков делает RatOn особенно опасной угрозой, демонстрирующей новые тенденции в мобильной киберпреступности.

Domains

• evillab.world
• marvelcore.top
• tiktok18.world
• www-core.top

SHA256

• 01f746d75be3e744f78ad6a9f908bf6fc42b951caf58feb62a0369ffbc5ad836
• 13f4b05abe78f7a5714f32ecddc9b5b463803c62cd8355f493b42af8cb4fa9db
• 15734c54d25341317a2f58bbc3c9ed3f8efa73af50fb5feb1ef46b6c3e02cab9
• 3578222693be106eac90343c12f06454b6de6e19a50d31ae5105218c36514bbd
• 49c29e87ba849a6afc82eb8a494d94123ebd70d04c43aebbe9f79d2572c2fecc
• 6bce8f9c3ff27ba6348595898ef898262f853789cdbe96c5fa8a147c0f3b42b9
• 7867e5c24f2ac72f3762c3acd31ffa0a931aac2377a4e6554a20963987dcedee
• 979d0331041d33d4af469f7daf7c5c5d268d1de0c231bdf7994229f00ad7a6a0
• 98c711801e9b89b4d0b4fb6c6fc5e8310ef3da226c7ac7261f04505384cd488a
• 98cb893449ec52efe5b77286a66394f5627b070b7ec3bed715f14bc1b79c87db
• 98e09a8f01980d11177549eea9598ffd573e1be355a05ef7d31b85c6be9a38ce
• 9a52126de022ea4d2fa065fbf368a8a08296f524d172e02e24ccf61f49eb7ad9
• bba15ecc8404698530761a122d3f03310b5e775f2e1552b645135fefd27e625c
• bbc7f2b5c17f90e4c054bc525d85cb96a791a9fe8c8295894fac50a9722fc908
• bf82609c55304c468996244d3ecc16348d9bea0891482ca724ffefcfaded8b66
• ccb725738cded7e2380355a899475dcdd0fae29f77d8998b43cc1bb1bb600494
• ce2b382ab6633a6bafee6f002c0ea94ab747cf4c98670fad437e5c5ca387a082
• ea23506d4e1dd97b01b52d41e4f474f2dffa096b279f4e982073cad3e90f0bae
• ec3b852ffbede9fa4a5402bb0242df4955660b8b67ae3d21a12cd25ad40b3bb2