Een nieuwe Android -malware genoemd Raton is geëvolueerd van een basistool die in staat is om bijna veldcommunicatie (NFC) -relaisaanvallen uit te voeren naar een geavanceerde Trojan op afstand met Trojan met Automated Transfer System (ATS) om apparaatfraude uit te voeren.
“Raton combineert traditionele overlay -aanvallen met automatische geldoverdracht en NFC -relaisfunctionaliteit – waardoor het een uniek krachtige dreiging is”, zei het Nederlandse mobiele beveiligingsbedrijf in een rapport dat vandaag is gepubliceerd.
De Banking Trojan is uitgerust met accountovernamefuncties die zich richten op cryptocurrency -portemonnee -applicaties zoals Metamask, Trust, Blockchain.com en Phantom, terwijl ze ook geautomatiseerde geldoverdrachten uit te voeren die George česko misbruikt, een bankaanvraag die in de Tsjechië werd gebruikt.
Bovendien kan het ransomware-achtige aanvallen uitvoeren met behulp van aangepaste overlay-pagina’s en apparaatvergrendeling. Het is vermeldenswaard dat een variant van de Hook Android Trojan ook werd waargenomen met ransomware-achtige overlay-schermen om afpersingsberichten weer te geven.
De eerste steekproef die raton distribueerde, werd op 5 juli 2025 in het wild gedetecteerd, met meer artefacten ontdekt zo recent als 29 augustus 2025, wat wijst op actief ontwikkelingswerkzaamheden van de kant van de operators.
Raton heeft gebruik gemaakt van nepplay store-noteringspagina’s die zich voordoen als een volwassen-vriendelijke versie van Tiktok (Tiktok 18+) om kwaadaardige dropper-apps te hosten die de Trojan leveren. Het is momenteel niet duidelijk hoe gebruikers naar deze sites worden gelokt, maar de activiteit heeft Tsjechische en Slowaakse sprekende gebruikers uitgekozen.
Nadat de Dropper-app is geïnstalleerd, vraagt deze om toestemming van de gebruiker om applicaties uit bronnen van derden te installeren om kritische beveiligingsmaatregelen te omzeilen die door Google worden opgelegd om misbruik van de toegankelijkheidsservices van Android te voorkomen.
De payload op de tweede fase gaat vervolgens door met het aanvragen van apparaatbeheer- en toegankelijkheidsservices, evenals machtigingen om contacten te lezen/schrijven en systeeminstellingen te beheren om de kwaadaardige functionaliteit te realiseren.
Dit omvat het verlenen van zichzelf extra machtigingen zoals vereist en het downloaden van een derde fase malware, wat niets anders is dan de NFSKate-malware die NFC-relaisaanvallen kan uitvoeren met behulp van een techniek genaamd Ghost Tap. De malwarefamilie werd voor het eerst gedocumenteerd in november 2024.
“De overname van het account en geautomatiseerde transferfuncties hebben aangetoond dat de dreigingsacteur de internals van de beoogde applicaties vrij goed kent,” zei ThreatFabric, de malware beschrijven zoals helemaal opnieuw gebouwd en geen code -overeenkomsten delen met andere Android Banking -malware.
Dat is niet alles. Raton kan ook overlay -schermen bedienen die lijken op een losgeldnotitie en beweren dat de telefoons van gebruikers zijn vergrendeld voor het bekijken en distribueren van kinderpornografie en dat ze $ 200 in cryptocurrency moeten betalen om binnen twee uur toegang te krijgen.
Er wordt vermoed dat de losgeldnotities zijn ontworpen om een vals gevoel van urgentie te veroorzaken en het slachtoffer te dwingen om de cryptocurrency -apps te openen, de transactie onmiddellijk te maken en de aanvallers in staat te stellen de apparaatpencode in het proces vast te leggen.
“Bij overeenkomstige opdracht kan Raton de beoogde cryptocurrency -portemonnee -app starten, deze ontgrendelen met behulp van gestolen pincode, klik op interface -elementen die gerelateerd zijn aan de beveiligingsinstellingen van de app en bij de laatste stap geheime zinnen onthullen,” zei ThreatFabric, met de beschrijving van de functies van de accountovername.
De gevoelige gegevens worden vervolgens opgenomen door een keylogger -component en geëxfiltreerd naar een externe server onder controle van de dreigingsactoren, die vervolgens de zaadzinnen kunnen gebruiken om ongeoorloofde toegang tot de accounts van de slachtoffers te verkrijgen en cryptocurrency -activa te stelen.
Sommige opmerkelijke opdrachten die door Raton worden verwerkt, worden hieronder vermeld –
- send_push, om neppushmeldingen te verzenden
- Screen_lock, om de time -out van het apparaatvergrendelingsscherm te wijzigen in een opgegeven waarde
- Whatsapp, om whatsapp te starten
- App_inject, om de lijst met gerichte financiële toepassingen te wijzigen
- UPDATE_DEVICE, om een lijst met geïnstalleerde apps te verzenden met apparaatvingerafdruk
- Send_SMS, om een sms -bericht te verzenden met behulp van toegankelijkheidsservices
- Facebook, om Facebook te lanceren
- NFS, om de NFSKate APK -malware te downloaden en uit te voeren
- overdracht, voer ATS uit met George česko
- vergrendelen, om het apparaat te vergrendelen met behulp van apparaatbeheerstoegang
- add_contact, om een nieuw contact te maken met een opgegeven naam en telefoonnummer
- Record, om een schermcasting -sessie te starten
- Display, om het gieten van het scherm in te schakelen
“De dreigingsacteur Group was aanvankelijk gericht op de Tsjechische Republiek, waarbij Slowakije waarschijnlijk het volgende land van focus was,” zei Threatfabric. “De reden achter het concentreren op een enkele bankaanvraag blijft onduidelijk. Het feit dat geautomatiseerde transfers lokale bankrekeningnummers vereisen, suggereert echter dat de dreigingsactoren mogelijk samenwerken met lokale geldmules.”
