СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.09.2025
#Dev#ИБ

RatOn: троянец удаленного доступа с оверлейными атаками, NFC и ATS

RatOn: троянец удаленного доступа с оверлейными атаками, NFC и ATS

Источник: www.threatfabric.com

Появление троянца удаленного доступа RatOn (RAT) отмечено аналитиками ThreatFabric MTI как новая веха в эволюции банковских и финансовых угроз. По результатам анализа, этот образец объединяет в себе возможности оверлейных атак, ретрансляции через NFC и элементы автоматизированной системы передачи данных (ATS), создавая сложную и гибкую платформу для кражи денег и учетных данных.

«RatOn был разработан с нуля, не обнаруживая сходства кода с существующими семействами вредоносного ПО, что свидетельствует о значительном уровне знаний его разработчиков.»

Ключевые выводы расследования

  • Новый код, высокая экспертиза: аналитики не нашли сходств с известными семействами malware, что указывает на самостоятельную разработку и высокий уровень навыков авторов.
  • Вектор первичного доступа: заражение через домены с контентом для взрослых, ориентированные на чешско- и словацкоязычную аудиторию; сайты часто содержат фразы вроде TikTok18+ и прямо размещают вредоносный дроппер.
  • Оверлейные атаки: RatOn умеет отображать оверлейные страницы, имитируя легитимные приложения для перехвата вводимых пользователем данных.
  • Автоматизация переводов: вредоносное ПО использует API служб специальных возможностей (Accessibility API) для автоматического инициирования денежных переводов.
  • Целенаправленность на конкретный банк: исследователи отмечают глубокое понимание дизайна приложения одного чешского банка, что позволяет злоумышленникам манипулировать визуальной структурой интерфейса.
  • Атаки на криптовалютные кошельки: функциональность включает механизмы захвата учетных записей и вывода средств из криптокошельков.
  • Гибкая командная система: взаимодействие между оператором и инфицированным устройством строится на основе JSON-объектов с идентификаторами команд и набором свойств — это обеспечивает сложные и адаптируемые сценарии атак.

Технические особенности и опасности

Технически RatOn сочетает несколько опасных подходов:

  • Оверлейные страницы позволяют злоумышленникам подменять элементы интерфейса и выманивать логины, пароли, коды подтверждения.
  • Accessibility API используется не только для чтения интерфейса, но и для автоматизации действий — подтверждений платежей, заполнения полей и т.п., что значительно снижает роль интерактивности пользователя в успешности мошенничества.
  • NFC-релеи и элементы ATS дают дополнительные векторы для перехвата и ретрансляции данных, расширяя потенциал атак за пределы традиционных сетевых каналов.
  • JSON-команды обеспечивают модульность и масштабируемость управления — операторы могут отправлять сложные последовательности действий на зараженные устройства.

Вектор распространения: что известно и что вызывает вопросы

Исследователи связывают начальные заражения с посещением взрослого контента и загрузкой приложений с таких сайтов. Домены целенаправленно ориентированы на чешскую и словацкую аудиторию и непосредственно размещают дроппер, однако точные механизмы взаимодействия (побуждение к установке, социальная инженерия внутри сайтов, эксплуатация уязвимостей) остаются частично неясными и требуют дальнейшего изучения.

Последствия для пользователей и организаций

Комбинация оверлеев, автоматических переводов и таргетинга конкретного банковского приложения делает RatOn особенно опасным для пользователей мобильного банкинга и клиентов, работающих с криптовалютой. Возможные последствия:

  • незаметная утрата средств с банковских счетов и карт;
  • компрометация криптокошельков и вывод криптовалюты;
  • повышенная вероятность точечных атак на клиентов конкретных финансовых организаций;
  • сложность обнаружения и удаления из-за интеграции с сервисами специальных возможностей и гибкой командной архитектуры.

Рекомендации по защите

  • усилить контроль источников установки приложений — не загружать APK с сомнительных сайтов;
  • ограничить права Accessibility API у приложений, проверять, какие программы запрашивают такие привилегии;
  • использовать многофакторную аутентификацию, предпочтительно с внешними аппаратными токенами; для криптовалют — холодные кошельки;
  • банкам и финтех-компаниям: мониторить аномалии в поведении приложений, проводить тестирование на устойчивость интерфейса к оверлейным атакам и информировать клиентов о рисках;
  • пользователям в Чехии и Словакии — особенно осторожно относиться к сайтам с adult-контентом и ссылкам в них, обновлять ОС и антивирусные решения.

Вывод

RatOn демонстрирует скоординирированный и технически продвинутый подход к финансовому мошенничеству: сочетание модулей для оверлеев, автоматизации через Accessibility API, NFC-ретрансляций и гибкого JSON‑управления делает его опасной угрозой для мобильного банкинга и криптосферы. Необходимы быстрые действия со стороны как пользователей, так и финансовых организаций для минимизации рисков и предотвращения масштабных потерь.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: