近几个月来,网络安全研究人员观察到一种新型 Android 银行木马 RatOn 的出现,它将远程访问功能与 NFC 中继技术和自动传输系统 (ATS) 功能无缝结合。
RatOn 的多阶段架构最初于 2025 年 7 月中旬被检测到,它利用植入器应用程序来安装后续有效负载,最终导致整个设备接管和欺诈易执行。
该木马通过伪装成第三方安装程序的成人主题域进行分发,在其早期活动中针对捷克和斯洛伐克用户。
其复杂的设计允许攻击者滥用辅助功能和设备管理员权限进行屏幕状态监控以及与合法银行应用程序的自动交互。
Threat Fabric 分析师指出,RatOn 的开发人员似乎完全从头开始编写了该恶意软件,现有 Android 银行系列没有明显的代码重用。
安装后,第一个有效负载通过 WebView 界面请求辅助功能服务访问权限,随后提升权限以管理系统设置和联系人。
一旦授予,这些权限使木马能够在后台秘密运行,通过辅助功能 API 捕获屏幕上的元素,而不是资源密集型的屏幕投射。
然后,RatOn 加载第三阶段有效负载 NFSkate 恶意软件,该恶意软件最初是为 NFC 中继攻击而设计的,有效地将卡片窃取与远程设备控制相结合。
Threat Fabric 研究人员发现,自动转账功能专门针对捷克银行应用程序“George Česko”。
从其控制服务器收到 JSON 格式的命令后,RatOn 会启动目标银行应用程序并模拟用户交互(包括 PIN 输入)以执行未经授权的转账。
这种精度水平表明对银行用户界面的深入了解,直到基于元素的搜索失败时基于坐标的点击。
值得注意的是,该木马会自动确认交易 PIN,这些 PIN 码是在早期的网络钓鱼或覆盖步骤中收集的,确保欺诈性转账在没有用户干预的情况下进行。
在一个观察到的传输例程中,操作员向 RatOn 发出一个包含收件人详细信息的 JSON 对象:-
{
"command_id": "transfer",
"receiver_name": "John Doe",
"account_number": "CZ6508000000001234567899",
"amount": "15000",
"currency": "CZK"
}感染机制
RatOn 的感染链从一个植入应用程序开始,该应用程序提示受害者启用第三方应用程序安装。
用户批准后,dropper 会创建一个指向硬编码 URL 的 WebView,并向页面公开一个函数。installApk()
当受害者点击屏幕上的按钮时,植入器会调用侧载第二级有效负载:-installApk()
webView.addJavascriptInterface(new Object() {
@JavascriptInterface
public void installApk() {
PackageInstaller.SessionParams params =
new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int sessionId = packageInstaller.createSession(params);
// ... install logic for payload.apk ...
packageInstaller.openSession(sessionId).write(...);
packageInstaller.openSession(sessionId).commit(...);
}
}, "DropperInterface");安装后,有效负载会立即通过其他 WebView 对话框请求辅助功能和设备管理员权限。
通过利用这些提升的权限,RatOn 建立了持久性并逃避检测:它拦截权限对话框,自动接受请求,并在必要时锁定设备以勒索赎金。
覆盖攻击、NFC 中继组件和自动交易的结合使 RatOn 成为迄今为止最先进的银行木马之一。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
