Der Trojaner RatOn hat sich von einem Angriffstool über NFC-Kommunikation zu einem ausgefeilteren Tool mit automatisierten Überweisungsfunktionen (ATS) entwickelt, das darauf ausgelegt ist, Android-Mobiltelefone zu infizieren und Geld zu stehlen, das Gerät zu sperren oder die Kontrolle darüber zu übernehmen.
RatOn ist ein neuer Trojaner, der vermutlich von Grund auf neu entwickelt wurde, d.h. er weist keine Ähnlichkeiten mit anderen bekannten „Malware-Familien” auf, die Forscher von Threat Fabric Anfang Juli dieses Jahres identifiziert haben.
Die Verantwortlichen, die Hackergruppe NFSkate, hosteten RatOn auf einer Reihe von Domains, die als Lockmittel eine angebliche Version der Tiktok-App mit Inhalten nur für Erwachsene anboten, die sie TikTok18+ nannten und die sich an tschechisch- und slowakischsprachige Android-Nutzer richtete, wie sie in ihrem offiziellen Blog berichten.
RatOn wird mit einem „Dropper” installiert, d.h. einer Art Trojaner, der auf den Computer des Opfers heruntergeladen wird, um dort die Malware zu installieren, mit der es infiziert wird, um die böswillige Aktivität auszuführen.
Beim Herunterladen bittet es das Opfer um die Erlaubnis, Software zu installieren, bei der es sich in Wirklichkeit um die Nutzlast handelt, mit der Cyberkriminelle auf das Gerät zugreifen und es kontrollieren können. Dazu fordert es weitere Berechtigungen an: Barrierefreiheitsdienst, Administratorrechte, zum Lesen und Schreiben von Kontakten und zum Verwalten der Systemeinstellungen. Eine zweite Nutzlast enthält die Malware NFSkate, die für NFC-Relay-Angriffe entwickelt wurde.
Von hier aus können Cyberkriminelle einen „Ransomware”-Angriff durchführen, indem sie das Gerät sperren und eine Zahlung in Kryptowährung verlangen, um den Zugriff wiederherzustellen. Mit Keylogger-Funktionen und nach dem Diebstahl der PIN können sie auch automatische Geldüberweisungen aus der Banking-App und den Kryptowährungs-Wallets durchführen.
Die Forscher von Threat Fabric weisen außerdem darauf hin, dass RatOn über eine umfangreiche Liste von Befehlen verfügt, die unter anderem darauf abzielen, den Bildschirmstatus zu senden, WhatsApp zu starten, die Liste der installierten Anwendungen mit dem Fingerabdruck des Geräts zu senden oder einen simulierten Klick auf die Starttaste auszuführen.
Quelle: Agenturen
