VietNetwork.Vn

Một phần mềm độc hại Android mới có tên RatOn đã phát triển từ một công cụ cơ bản có khả năng thực hiện các cuộc tấn công chuyển tiếp Giao tiếp trường gần (NFC) thành một trojan truy cập từ xa tinh vi có khả năng Hệ thống truyền tự động (ATS) để thực hiện gian lận thiết bị.

"RatOn kết hợp các cuộc tấn công phủ lớp truyền thống với chức năng chuyển tiền tự động và chuyển tiếp NFC – khiến nó trở thành mối đe dọa cực kỳ mạnh mẽ", công ty bảo mật di động Hà Lan cho biết trong báo cáo được công bố ngày hôm nay.


Trojan ngân hàng này được trang bị chức năng chiếm đoạt tài khoản nhắm vào các ứng dụng ví tiền điện tử như MetaMask, Trust,   Đăng nhập để xem liên kết và Phantom, đồng thời có khả năng thực hiện chuyển tiền tự động bằng cách lợi dụng George Česko, một ứng dụng ngân hàng được sử dụng tại Cộng hòa Séc.

Hơn nữa, nó có thể thực hiện các cuộc tấn công tương tự ransomware bằng cách sử dụng các trang phủ tùy chỉnh và khóa thiết bị. Cần lưu ý rằng một biến thể của trojan HOOK trên Android cũng được phát hiện tích hợp màn hình phủ kiểu ransomware để hiển thị thông báo tống tiền.

Mẫu đầu tiên phân phối RatOn được phát hiện trong tự nhiên vào ngày 5 tháng 7 năm 2025, với nhiều hiện vật khác được phát hiện gần đây nhất là vào ngày 29 tháng 8 năm 2025, cho thấy hoạt động phát triển tích cực của các nhà điều hành.

RatOn đã lợi dụng các trang danh sách Play Store giả mạo dưới dạng phiên bản TikTok dành cho người lớn (TikTok 18+) để lưu trữ các ứng dụng độc hại phát tán trojan. Hiện chưa rõ người dùng bị dụ dỗ vào các trang web này bằng cách nào, nhưng hoạt động này đã nhắm vào người dùng nói tiếng Séc và Slovakia.

Sau khi ứng dụng dropper được cài đặt, nó sẽ yêu cầu người dùng cấp quyền cài đặt ứng dụng từ các nguồn của bên thứ ba để vượt qua các biện pháp bảo mật quan trọng do Google áp dụng nhằm ngăn chặn việc lạm dụng các dịch vụ trợ năng của Android.

Giai đoạn tải trọng thứ hai sau đó sẽ tiến hành yêu cầu dịch vụ quản trị và trợ năng thiết bị, cũng như quyền đọc/ghi danh bạ và quản lý cài đặt hệ thống để thực hiện chức năng độc hại của nó.

Điều này bao gồm việc tự cấp cho mình các quyền bổ sung khi cần thiết và tải xuống phần mềm độc hại giai đoạn ba, thực chất là phần mềm độc hại NFSkate, có thể thực hiện các cuộc tấn công chuyển tiếp NFC bằng một kỹ thuật gọi là Ghost Tap. Họ phần mềm độc hại này được ghi nhận lần đầu tiên vào tháng 11 năm 2024.

ThreatFabric cho biết: "Tính năng chiếm đoạt tài khoản và chuyển tiền tự động cho thấy kẻ tấn công biết khá rõ nội dung bên trong của các ứng dụng mục tiêu", đồng thời mô tả phần mềm độc hại này được xây dựng từ đầu và không có điểm tương đồng nào về mã với các phần mềm độc hại ngân hàng Android khác.

Chưa hết. RatOn còn có thể hiển thị màn hình giống như một thông báo đòi tiền chuộc, tuyên bố rằng điện thoại của người dùng đã bị khóa vì xem và phát tán nội dung khiêu dâm trẻ em và họ cần phải trả 200 đô la tiền điện tử để lấy lại quyền truy cập trong vòng hai giờ.

Người ta nghi ngờ rằng các yêu cầu đòi tiền chuộc được thiết kế để tạo ra cảm giác cấp bách giả tạo và ép buộc nạn nhân mở ứng dụng tiền điện tử, thực hiện giao dịch ngay lập tức và cho phép kẻ tấn công lấy được mã PIN của thiết bị trong quá trình này.

ThreatFabric cho biết: "Khi nhận được lệnh tương ứng, RatOn có thể khởi chạy ứng dụng ví tiền điện tử mục tiêu, mở khóa bằng mã PIN đánh cắp, nhấp vào các thành phần giao diện liên quan đến cài đặt bảo mật của ứng dụng và ở bước cuối cùng, tiết lộ các cụm từ bí mật", đồng thời nêu chi tiết về các tính năng chiếm đoạt tài khoản của mình.

Dữ liệu nhạy cảm sau đó được ghi lại bởi một thành phần keylogger và rò rỉ đến một máy chủ bên ngoài do kẻ tấn công kiểm soát, sau đó chúng có thể sử dụng cụm từ hạt giống để truy cập trái phép vào tài khoản của nạn nhân và đánh cắp tài sản tiền điện tử.

Một số lệnh đáng chú ý được xử lý bởi RatOn được liệt kê dưới đây:

    send_push, để gửi thông báo đẩy giả
    screen_lock, để thay đổi thời gian chờ màn hình khóa thiết bị thành một giá trị đã chỉ định
    WhatsApp, để ra mắt WhatsApp
    app_inject, để thay đổi danh sách các ứng dụng tài chính mục tiêu
    update_device, để gửi danh sách các ứng dụng đã cài đặt kèm dấu vân tay thiết bị
    send_sms, để gửi tin nhắn SMS bằng dịch vụ trợ năng
    Facebook, để ra mắt Facebook
    nfs, để tải xuống và chạy phần mềm độc hại NFSkate APK
    chuyển giao, thực hiện ATS bằng cách sử dụng George Česko
    khóa, để khóa thiết bị bằng cách sử dụng quyền truy cập quản trị thiết bị
    add_contact, để tạo một liên hệ mới bằng cách sử dụng tên và số điện thoại đã chỉ định
    ghi lại, để khởi chạy phiên truyền hình ảnh màn hình
    hiển thị, để bật/tắt tính năng truyền màn hình

"Ban đầu, nhóm tin tặc nhắm mục tiêu vào Cộng hòa Séc, và Slovakia có thể là quốc gia trọng điểm tiếp theo", ThreatFabric cho biết. "Lý do chúng tập trung vào một ứng dụng ngân hàng duy nhất vẫn chưa rõ ràng. Tuy nhiên, việc chuyển khoản tự động yêu cầu số tài khoản ngân hàng địa phương cho thấy chúng có thể đang hợp tác với những kẻ chuyển tiền địa phương."