Trojan RatOn và mối nguy hiểm của nó đối với Android: cách thức hoạt động và cách tự bảo vệ mình

Trojan RatOn trên Android đã lọt vào tầm ngắm an ninh mạng vì kết hợp nhiều kỹ thuật hiếm khi thấy trên thiết bị di động. Chỉ trong vài tuần, nó đã phát triển từ một công cụ tập trung vào chuyển tiếp NFC thành một Trojan truy cập từ xa với khả năng tự động chuyển dữ liệu, lớp phủ và các chức năng tương tự ransomware, một điều đặc biệt đáng lo ngại trên thiết bị di động. Nó khiến người dùng có nguy cơ bị mất tiền và mất quyền kiểm soát thiết bị., đó là lý do tại sao nó thuận tiện để sử dụng ứng dụng để cải thiện bảo mật.

Theo các phân tích được công bố bởi các chuyên gia, RatOn được phát triển từ đầu, không kế thừa mã nguồn từ các họ mã đã biết. Đặc điểm này làm phức tạp việc phát hiện ban đầu và giải thích tại sao, mặc dù còn non trẻ, nó đã được đánh giá là có khả năng gây thiệt hại cao. Những dấu hiệu chắc chắn đầu tiên về chiến dịch của nó xuất hiện vào đầu tháng 7 năm 2025, và các hiện vật mới được phát hiện vào cuối tháng 8 cùng năm, xác nhận rằng những kẻ tấn công tiếp tục tinh chỉnh khả năng và giữ cho dự án sống động và phát triển.

Trojan RatOn là gì và tại sao nó lại khác biệt?

RatOn là một Trojan ngân hàng Android, một RAT, một phần mềm độc hại cho phép kẻ tấn công điều khiển điện thoại của nạn nhân từ xa. Điểm mới không chỉ nằm ở khả năng điều khiển, mà còn là sự kết hợp của các kỹ thuật tiên tiến trong một gói duy nhất: tấn công phủ màn hình, hệ thống truyền dữ liệu tự động, chuyển tiếp NFC, khóa thiết bị để tống tiền và khả năng ghi lại thao tác bàn phím. Tất cả được điều khiển bằng một danh sách dài các lệnh, cho phép nó linh hoạt hoạt động theo nhiều cách khác nhau. tùy thuộc vào mục tiêu của kẻ tấn công và môi trường của nạn nhân.

FireScam, phần mềm độc hại đóng giả Telegram Premium

Cách phân phối: mồi nhử hấp dẫn và trang giả mạo

Chiến dịch bị phát hiện đã sử dụng các tên miền mô phỏng trải nghiệm cửa hàng chính thức và gắn nội dung người lớn. Nội dung chính bị phát hiện là một ứng dụng được cho là TikTok18+, dường như được thiết kế cho Android và nhằm mục đích thu hút người dùng nói tiếng Séc và Slovakia. Sau khi thuyết phục nạn nhân, các trang giả mạo yêu cầu họ cài đặt gói từ các nguồn bên ngoài, mở đường cho chuỗi lây nhiễm và do đó bỏ qua các biện pháp bảo vệ thông thường của Google.

Kênh mà người dùng tiếp cận các tên miền này vẫn chưa được làm rõ hoàn toàn, nhưng có thể nghĩ đến các kỹ thuật tấn công mạng xã hội phổ biến như quảng cáo lừa đảo, tin nhắn hứa hẹn nội dung độc quyền và các liên kết được đặt trên các trang web đáng ngờ. Điều quan trọng là, sau khi trình cài đặt đã được tải xuống, phần còn lại của quy trình sẽ trở nên khó khăn hơn nhiều đối với người dùng thông thường. bởi vì các hành động được yêu cầu có thể có vẻ bình thường với bạn.

Chuỗi lây nhiễm theo từng giai đoạn: từ ống nhỏ giọt đến tải trọng nâng cao

Quá trình lây nhiễm bắt đầu bằng một trình cài đặt độc hại, một trình dropper yêu cầu quyền cài đặt ứng dụng từ các nguồn không xác định. Bước đầu tiên này, có vẻ vô hại với một số người, thực chất là bước kích hoạt cho phép phần mềm độc hại thực sự xâm nhập vào thiết bị. Sau đó, quá trình này yêu cầu quyền quan trọng: Dịch vụ trợ năng, quyền quản trị viên, đọc và ghi danh bạ, và khả năng quản lý cài đặt hệ thống. Với bộ quyền này, kẻ tấn công có thể tự do hoạt động, sửa đổi cài đặt, cấp quyền mới cho các mô-đun của bạn và duy trì tính bền bỉ.

Ở giai đoạn thứ hai, tải trọng chính được triển khai, cho phép điều khiển từ xa và các chức năng ngân hàng nâng cao. Ở giai đoạn thứ ba, một thành phần chuyển tiếp NFC chuyên dụng có tên NFSkate, còn được gọi là NGate, được tải xuống. Mô-đun này là một biến thể dựa trên một công cụ nghiên cứu hợp pháp được gọi là NFCGate, có thể chuyển tiếp dữ liệu thanh toán từ xa nếu bị tin tặc lợi dụng. Kỹ thuật liên quan, được gọi là Ghost Tap, đã được ESET ghi nhận vào tháng 8 năm 2024, và RatOn đã tích hợp nó như một phần trong kho vũ khí của mình. mở rộng phạm vi tiếp cận của nó vượt ra ngoài việc thu thập thông tin xác thực đơn giản.

Cách thức hoạt động của NFC Relay để thực hiện gian lận

Chuyển tiếp NFC liên quan đến việc sử dụng hai thiết bị để đánh lừa thiết bị đầu cuối thanh toán. Một thiết bị, gần nạn nhân, sẽ thu thập thông tin thẻ thanh toán không tiếp xúc; thiết bị còn lại, đặt tại nơi kẻ lừa đảo hiện diện, sẽ chuyển tiếp dữ liệu đó đến thiết bị đầu cuối POS để hoàn tất giao dịch. Trojan RatOn, với mô-đun chuyên dụng, cho phép điện thoại bị nhiễm hoạt động như một thiết bị thu thập thông tin, cho phép kẻ tấn công nhận thông tin theo thời gian thực và sử dụng nó để thực hiện các giao dịch từ xa. Trên thực tế, điều này có nghĩa là điện thoại bị xâm nhập có thể là cổng cho phép lừa đảo mà nạn nhân thậm chí không hề hay biết. đặc biệt nếu thiết bị được mở khóa và NFC hoạt động vào những thời điểm quan trọng.

Lớp phủ, ATS và việc tiếp quản ứng dụng tài chính

RatOn là bậc thầy về tấn công phủ lớp, đặt màn hình giả lên các ứng dụng hợp pháp. Cách tiếp cận này cho phép sao chép giao diện của ứng dụng ngân hàng hoặc thanh toán để đánh cắp mã PIN, mật khẩu và mã xác minh. Nhờ dịch vụ trợ năng và quyền quản trị, phần mềm độc hại có thể tương tác với các thành phần giao diện, nhấn nút, xác nhận thao tác và điều hướng menu như thể nó là người dùng. khiến nạn nhân tin rằng họ đang ở trong ứng dụng thực sự.

Tính năng ATS (Hệ thống Chuyển tiền Tự động) của nó nổi bật với khả năng nhận dạng luồng dữ liệu ứng dụng tài chính và nhập thông tin bị đánh cắp để hoàn tất giao dịch chuyển tiền. Các hoạt động tự động hóa cụ thể đã được quan sát thấy đối với George Česko, một ứng dụng ngân hàng phổ biến tại Cộng hòa Séc, điều này giải thích một phần trọng tâm địa lý của chiến dịch. Tính năng tự động hóa này giúp giảm thời gian cần thiết để rút tiền khỏi tài khoản và, kết hợp với việc đánh cắp thông tin đăng nhập, cho phép các hoạt động với sự can thiệp ít từ nạn nhân.

Việc chiếm đoạt tài khoản không chỉ giới hạn ở ngân hàng truyền thống. Trojan RatOn còn nhắm mục tiêu vào các ví tiền điện tử phổ biến như MetaMask, Trust Wallet, Blockchain dot com và Phantom. Sau khi lấy được mã PIN hoặc cụm từ khôi phục, phần mềm độc hại có thể mở ứng dụng, mở khóa, điều hướng đến các mục bảo mật và trích xuất các cụm từ bí mật, từ đó cho phép đánh cắp tài sản. Khả năng đa ví và đa ngôn ngữ này cho thấy ý định rõ ràng là mở rộng sang các thị trường mới. tận dụng khả năng truy xuất nguồn gốc hạn chế của một số tài sản tiền điện tử.

Hành vi tống tiền và tống tiền tâm lý

Ngoài việc đánh cắp và kiểm soát, RatOn còn bao gồm các tính năng khóa thiết bị và hiển thị các trang phủ thông báo đòi tiền chuộc. Trong một số trường hợp, màn hình giả mạo cáo buộc nạn nhân xem hoặc phát tán tài liệu bất hợp pháp và yêu cầu thanh toán 200 đô la tiền điện tử trong vòng hai giờ để lấy lại quyền truy cập. Ngoài mối đe dọa, điều quan trọng là mục tiêu thực sự: gây áp lực buộc người dùng mở một ứng dụng tiền điện tử cụ thể và hoàn tất giao dịch chuyển tiền, sau đó phần mềm độc hại sẽ ghi lại mã PIN và lấy được khóa tài khoản. do đó thực hiện vụ bắt cóc mà không để nạn nhân nghi ngờ.

Các họ mã độc khác, chẳng hạn như một biến thể của Trojan HOOK dành cho Android, đã được phát hiện tích hợp màn hình phủ giống như ransomware, củng cố quan điểm cho rằng các kỹ thuật gây áp lực tâm lý này đang trở thành tiêu chuẩn trong tội phạm mạng di động. RatOn sử dụng cách tiếp cận tương tự để kiếm tiền nhanh chóng và gây nhầm lẫn cho người dùng về những gì thực sự đang xảy ra trên thiết bị của họ. nhân lên cơ hội thành công của gian lận.

Danh sách các lệnh được quan sát và mục đích sử dụng của chúng

Một trong những điểm mạnh của Trojan RatOn là danh sách các lệnh điều khiển từ xa, giúp việc điều khiển trở nên dễ dàng hơn. Các lệnh được xác định bao gồm: từ mạo danh đến chặn thiết bị đầu cuối:

gửi_đẩy: Gửi thông báo đẩy giả mạo tới người dùng.
khóa màn hình: Điều chỉnh thời gian chờ màn hình khóa.
WhatsApp: Khởi chạy ứng dụng để tương tác hoặc theo dõi các luồng truyền thông.
ứng dụng_tiêm: Sửa đổi danh sách các ứng dụng tài chính mục tiêu cho lớp phủ.
thiết bị cập nhật: Gửi danh sách các ứng dụng đã cài đặt và dữ liệu thiết bị.
gửi tin nhắn: Gửi tin nhắn SMS bằng dịch vụ trợ năng.
Facebook: Mở ứng dụng cho mục đích gian lận hoặc thu thập dữ liệu.
nfs: Tải xuống và chạy NFSkate APK để phát trực tuyến NFC.
chuyển: Chạy ATS theo các luồng như của George Česko.
bloquear: Khóa thiết bị bằng quyền quản trị.
thêm_liên hệ: tạo danh bạ mới trong sổ địa chỉ của nạn nhân.
hồ sơ: Bắt đầu phiên phát trực tuyến hoặc ghi lại màn hình.
màn hình: Bật hoặc tắt tính năng quay màn hình khi có lệnh từ kẻ tấn công.

Ngoài ra, các nhà nghiên cứu còn chỉ ra các hành động như mô phỏng thao tác nhấp chuột vào nút Home, sửa đổi bảng tạm hoặc gửi trạng thái màn hình theo thời gian thực, bổ sung cho chức năng ghi lại thao tác bàn phím. Với khả năng này, kẻ tấn công có thể thực hiện toàn bộ chuỗi gian lận mà không gây nghi ngờ. tự động hóa các bước mà trong các Trojan khác yêu cầu can thiệp thủ công.

Phạm vi, niên đại và các bên tham gia chiến dịch

Bằng chứng cho thấy hoạt động này chủ yếu ảnh hưởng đến người dùng ở Trung Âu, với tác động lớn nhất là ở Cộng hòa Séc và Slovakia. Các mẫu đầu tiên được liên kết với RatOn có từ ngày 5 tháng 7 năm 2025, với các mẫu mới được xác định vào ngày 29 tháng 8 năm 2025, cho thấy sự phát triển liên tục. Quy kết kỹ thuật chỉ ra một nhóm có tên là NFSkate, được cho là đã lưu trữ các ứng dụng độc hại trên nhiều tên miền với các mồi nhử có mục tiêu cao. nhắm đến đối tượng cụ thể và bằng ngôn ngữ địa phương.

Tìm hiểu về phần mềm độc hại sao chép thẻ bằng công nghệ NFC

Các chỉ báo và dấu hiệu cảnh báo cho người dùng

Một số hành vi có thể cho thấy sự hiện diện của RatOn hoặc một Trojan tương tự. Ví dụ: các yêu cầu liên tục cấp quyền truy cập, đọc và ghi danh bạ, quản lý thiết bị và kiểm soát cài đặt hệ thống. Ngoài ra, còn có các thay đổi về thời gian khóa màn hình mà không có sự can thiệp của người dùng, thông báo đẩy bất ngờ xuất hiện và lớp phủ màn hình yêu cầu thông tin đăng nhập nhạy cảm. đặc biệt nếu chúng được hiển thị trên các ứng dụng ngân hàng hoặc tiền điện tử.

Nếu bạn phát hiện các ứng dụng mới được cài đặt bên ngoài cửa hàng chính thức hoặc nếu thiết bị của bạn thường xuyên nhắc bạn cài đặt chúng từ các nguồn không xác định, bạn nên hết sức thận trọng. Một dấu hiệu cảnh báo khác là sự xuất hiện của các trang giả mạo cửa hàng Google và hứa hẹn các phiên bản đã sửa đổi của các dịch vụ phổ biến có nội dung người lớn, vì đây là những kênh phân phối phổ biến trong các chiến dịch này. kêu gọi sự tò mò để buộc phải phóng điện bốc đồng.

Phải làm gì nếu bạn nghi ngờ điện thoại của mình bị nhiễm virus?

Nếu bạn nghi ngờ bị nhiễm virus, có những bước cụ thể bạn có thể thực hiện để giảm thiểu thiệt hại. Dưới đây là một giao thức cơ bản, dựa trên các khuyến nghị chuyên môn, có thể giúp bạn cắt đứt liên lạc với kẻ tấn công và giành lại quyền kiểm soát thiết bị của mình. giữ an toàn cho tài khoản và dữ liệu cá nhân của bạn:

Ngắt kết nối internet: Vô hiệu hóa dữ liệu di động và Wi-Fi để ngăn phần mềm độc hại giao tiếp với máy chủ của bạn.
Không tương tác với các tin nhắn hoặc lời nhắc đáng ngờ- Tránh nhấp vào liên kết hoặc mở tệp đính kèm APK.
Xóa các quyền đáng ngờ: Xem lại quyền quản trị viên và quyền truy cập trợ năng trong Cài đặt và thu hồi chúng mà không cần làm theo hướng dẫn bên ngoài.
Khởi động vào chế độ an toàn: Điều này ngăn không cho các ứng dụng của bên thứ ba chạy khi khởi động.
Quét bằng phần mềm chống phần mềm độc hại có uy tín: Sử dụng Play Protect hoặc các giải pháp bảo mật di động đã biết.
Gỡ cài đặt các ứng dụng không xác định hoặc gần đây: từ Cài đặt trong phần Ứng dụng; nếu không được, hãy tìm kiếm sự trợ giúp chuyên nghiệp.
Thay đổi mật khẩu và kích hoạt 2FA: Thực hiện việc này từ một thiết bị sạch khác, bắt đầu bằng email, ngân hàng và ví.
Sao lưu và khôi phục cài đặt gốc: Nếu các dấu hiệu vẫn còn, hãy đánh giá sao lưu và khôi phục thiết bị đầu cuối về cài đặt gốc.
Liên hệ với ngân hàng của bạn: Khóa tài khoản hoặc thẻ nếu bạn phát hiện truy cập bất thường hoặc chuyển tiền trái phép.
Yêu cầu hỗ trợ chuyên nghiệp: cần thiết nếu đó là điện thoại công ty hoặc chứa thông tin nhạy cảm.

Thực hành tốt để giảm thiểu rủi ro

Phòng bệnh hơn chữa bệnh, và trong thế giới di động, điều đó có nghĩa là hãy cẩn thận về nơi cài đặt ứng dụng và cấp quyền. Luôn ưu tiên tải xuống ứng dụng từ các cửa hàng chính thức như Google Play, cảnh giác với các tên miền không xác định và tránh các liên kết hứa hẹn phiên bản đặc biệt của các ứng dụng phổ biến. Trước khi chấp nhận bất kỳ quyền nào, hãy cân nhắc xem nó có phù hợp với mục đích của ứng dụng hay không và tránh cấp quyền quản trị viên hoặc quyền truy cập vào các công cụ chưa được xác minh bằng mọi giá. vì chúng là lối tắt ưa thích của Trojan để chiếm lấy điện thoại của bạn. Cũng xem xét mã hóa điện thoại di động của bạn để thêm một lớp bảo vệ nữa.

Nếu bạn nhận thấy hành vi bất thường, hãy hành động nhanh chóng. Khôi phục cài đặt gốc kịp thời và gọi ngay cho tổ chức tài chính của bạn có thể tạo nên sự khác biệt giữa một vấn đề nghiêm trọng và một mối đe dọa đáng lo ngại. Và nếu bạn quản lý môi trường kinh doanh, hãy cân nhắc các dịch vụ an ninh mạng chuyên biệt, vì những mối đe dọa này phát triển nhanh chóng và đòi hỏi các biện pháp phòng thủ chủ động. kiểm soát chống gian lận và giám sát liên tục.

Bối cảnh, tài liệu tham khảo và các mối đe dọa liên quan khác

Tài liệu công khai về Trojan RatOn cho biết nghiên cứu này được thực hiện bởi các công ty bảo mật di động và chi tiết cho thấy nhóm NFSkate đã lưu trữ các hiện vật trên các tên miền có mồi nhử như TikTok18+. Tài liệu cũng đề cập đến kỹ thuật Ghost Tap được ESET mô tả vào năm 2024 và sự hiện diện của các màn hình tương tự ransomware đã được thấy trong các biến thể HOOK, phù hợp với sự phát triển gần đây của gian lận di động. nơi các lớp phủ được kết hợp với các tự động hóa cấp cao. Nó cũng giúp hiểu lý do tại sao các bản vá bảo mật và quản lý lỗ hổng có liên quan đến các mối đe dọa này, như đã giải thích trong các bài viết về bản vá bảo mật.

Một số bài viết đề cập đến các yếu tố khác của bối cảnh, chẳng hạn như Crocodilus, một phần mềm độc hại ngân hàng đang phát triển, và nội dung khám phá khả năng quan sát cơ sở dữ liệu ngân hàng như một phần của quá trình chuyển đổi số. Mặc dù những nội dung này không trực tiếp liên quan đến RatOn, nhưng chúng giúp giải thích tại sao lĩnh vực tài chính là mục tiêu ưu tiên và tại sao giám sát nâng cao lại là chìa khóa để chống lại các cuộc tấn công kiểu này. đặc biệt là khi kẻ thù có thể kiểm soát thiết bị của khách hàng.

Ghi chú bổ sung được quan sát trong các nguồn

Các dòng ngày tháng và nguồn gốc như Madrid 12 tháng 9 Portaltic slash EP đã được nhìn thấy, cũng như các nguồn ảnh như Mouse Resource trên Unsplash, Frenjamin Benklin. Điều này không ảnh hưởng đến phân tích kỹ thuật, nhưng cho thấy câu chuyện đã được đưa lên các phương tiện truyền thông chính thống với độ phủ sóng rộng rãi. dấu hiệu rõ ràng cho thấy vấn đề này đáng quan ngại do tác động tiềm tàng của nó.

Khả năng tiến hóa và rủi ro trong tương lai

Việc RatOn nhanh chóng chuyển đổi từ chuyển tiếp NFC sang ATS và lớp phủ cho thấy những kẻ đứng sau dự án đã nắm vững cách thức hoạt động bên trong của các ứng dụng bị tấn công. Các bình luận kỹ thuật cho thấy chúng có kiến thức chi tiết về giao diện ngân hàng và tiền điện tử, bao gồm cả việc điều hướng đến các mục bảo mật để đánh cắp các cụm từ hạt giống. Với cơ sở mã và kiến trúc mô-đun riêng, sẽ không có gì ngạc nhiên khi thấy các mô-đun hoặc phương thức tấn công mới sớm xuất hiện. bao gồm việc mở rộng các ngôn ngữ và ngân hàng mục tiêu.

Nơi nào có nhiều người dùng hơn, nơi đó có nhiều động lực hơn cho tội phạm mạng đổi mới, và di động, với sự kết hợp của ngân hàng, truyền thông và thanh toán gần, tập trung một lượng lớn dữ liệu và giao dịch mà kẻ tấn công không thể cưỡng lại. Đó là lý do tại sao, ở cả cấp độ cá nhân và doanh nghiệp, việc củng cố bề mặt tấn công bằng các biện pháp ít tin cậy nhất và đào tạo người dùng là vô cùng quan trọng. để ngăn chặn kỹ thuật xã hội trước khi chuỗi lây nhiễm bắt đầu.

Dịch vụ và hỗ trợ chuyên biệt

Trong hệ sinh thái ngày nay, nhiều công ty tìm kiếm sự hỗ trợ chuyên môn để giảm thiểu rủi ro hoạt động trước các mối đe dọa như RatOn. Có những nhà cung cấp cung cấp dịch vụ triển khai và giám sát chủ động, hoặc thậm chí các ứng dụng như Làm mồi để tăng cường khả năng phát hiện hành vi bất thường của Android, củng cố thiết bị và bảo vệ giao dịch, giúp bạn giảm thiểu tổn thất và phản ứng nhanh chóng.

Trong số các công ty được đề cập trong một số bài viết có E dea là một bên đề xuất các giải pháp, một ví dụ về cách ngành này đã phản ứng với loại Trojan di động này và cách thức phòng thủ nhiều lớp có thể được diễn đạt.

Cũng cần lưu ý rằng, mặc dù trọng tâm thường là phần mềm độc hại, nhưng dấu vết tiếp xúc lại gắn chặt với các thói quen hàng ngày. Tránh cài đặt từ các nguồn không xác định, tránh các tuyên bố về nội dung người lớn hoặc các phiên bản được cho là đã cải tiến của các ứng dụng phổ biến, và chú ý đến quyền truy cập là những rào cản đơn giản nhưng hiệu quả.

Những lời nói dối về Trojan RatOn

Trong cùng hệ sinh thái truyền thông, tin tức về các vụ lừa đảo và hiện tượng lan truyền không liên quan đến RatOn đã lan truyền, chẳng hạn như cái gọi là trò lừa đảo tương tự hoặc sự tò mò về mặt hình ảnh của giao diện iOS, cho thấy mức độ các khiếu nại xã hội có thể hướng lưu lượng truy cập đến nơi kẻ tấn công muốn và thức ăn xả xung động.

RatOn đã chứng minh rằng điện thoại di động có thể là cầu nối hoàn hảo giữa tấn công kỹ thuật xã hội, đánh cắp thông tin đăng nhập, truyền lại NFC và tự động hóa hoàn toàn việc chuyển dữ liệu. Thêm vào đó là khả năng khóa thiết bị và sử dụng phần mềm tống tiền, và sự kết hợp này thật tinh vi. Điều hợp lý cần làm là tăng cường thói quen bảo mật, luôn cảnh giác với các quyền và nguồn cài đặt, đồng thời có sẵn kế hoạch ứng phó.