De trojan RatOn is geëvolueerd van een aanvalsinstrument via NFC-communicatie naar een geavanceerder instrument met geautomatiseerde overschrijvingsfuncties (ATS), dat is ontworpen om Android-mobiele telefoons te infecteren en geld te stelen, het apparaat te blokkeren of er controle over te krijgen.
RatOn is een nieuwe trojan die vermoedelijk helemaal opnieuw is ontwikkeld, d.w.z. dat hij geen overeenkomsten vertoont met andere bekende “malwarefamilies” die onderzoekers van Threat Fabric begin juli van dit jaar hebben geïdentificeerd.
De verantwoordelijken, de hackersgroep NFSkate, hostten RatOn op een reeks domeinen die als lokmiddel een vermeende versie van de Tiktok-app met alleen voor volwassenen bestemde inhoud aanboden, die ze TikTok18+ noemden en die gericht was op Tsjechisch- en Slowaaks sprekende Android-gebruikers, zoals ze in hun officiële blog melden.
RatOn wordt geïnstalleerd met een “dropper”, een soort trojan die naar de computer van het slachtoffer wordt gedownload om daar de malware te installeren waarmee het wordt geïnfecteerd om de kwaadaardige activiteit uit te voeren.
Tijdens het downloaden vraagt het het slachtoffer om toestemming om software te installeren, die in werkelijkheid de payload is waarmee cybercriminelen toegang krijgen tot het apparaat en het kunnen controleren. Hiervoor vraagt het om aanvullende machtigingen: toegankelijkheidsdienst, beheerdersrechten, lezen en schrijven van contacten en beheren van systeeminstellingen. Een tweede payload bevat de malware NFSkate, die is ontwikkeld voor NFC-relay-aanvallen.
Van hieruit kunnen cybercriminelen een “ransomware”-aanval uitvoeren door het apparaat te vergrendelen en een betaling in cryptovaluta te eisen om de toegang te herstellen. Met keylogger-functies en na het stelen van de pincode kunnen ze ook automatische geldoverboekingen uitvoeren vanuit de bankapp en de cryptovaluta-wallets.
De onderzoekers van Threat Fabric wijzen er ook op dat RatOn beschikt over een uitgebreide lijst met commando’s die onder andere bedoeld zijn om de schermstatus te verzenden, WhatsApp te starten, de lijst met geïnstalleerde applicaties met de vingerafdruk van het apparaat te verzenden of een gesimuleerde klik op de startknop uit te voeren.
Bron: agentschappen
