Oprez: Lažne TikTok aplikacije šire RatOn Android bankarskog trojanca po Evropi

Novi Android malware pod nazivom RatOn razvio se od jednostavnog alata za NFC relay napade u sofisticirani trojanac za daljinski pristup s mogućnošću automatizovanih bankarskih transfera (ATS). Prvi put je otkriven u julu ove godine, a nove varijante registrovane krajem augusta potvrđuju da napadači i dalje aktivno rade na njegovom razvoju. Holandska sigurnosna kompanija ThreatFabric navodi da RatOn kombinuje overlay napade, automatske transfere i NFC relay funkcionalnost, što ga čini jednom od najopasnijih prijetnji mobilnom bankarstvu do sada. „Funkcionalnosti preuzimanja računa i automatizovanih transfera pokazuju da napadači veoma dobro poznaju interne mehanizme ciljanih aplikacija,“ saopćeno je iz ThreatFabrica.

Malware prvenstveno cilja aplikacije za kriptovalute poput MetaMask, Trust, Phantom i Blockchain.com, dok istovremeno zloupotrebljava češku bankarsku aplikaciju George Česko za prevarne transfere. Distribuira se putem lažnih Google Play stranica koje se predstavljaju kao “TikTok 18+”, a ciljane su osobe koje govore češki i slovački jezik.

Jednom kada se instalira, RatOn traži široka prava pristupa uređaju, uključujući administrativne i sigurnosne dozvole, nakon čega preuzima dodatne maliciozne module poput NFSkate malwarea, specijalizovanog za NFC relay napade tehnikom “Ghost Tap.”

Osim krađe podataka i novca, RatOn može prikazivati lažne ransomware poruke kojima zastrašuje korisnike tvrdnjama da su telefoni blokirani zbog kriminalnih aktivnosti, tražeći otkupninu u kriptovalutama. Stručnjaci vjeruju da je cilj ovakvih poruka inducirati paniku i natjerati žrtve da brzo otvore kripto aplikacije, čime napadači mogu ukrasti PIN kodove i seed fraze.

Prema navodima ThreatFabrica, napadi su u početku usmjereni na korisnike u Češkoj, dok bi sljedeća meta mogla biti Slovačka, uz moguće oslanjanje na lokalne mreže posrednika za pranje novca.