Аналитики в области кибербезопасности предупреждают о возникновении новой угрозы для устройств на базе Android. Она объединяет в себе функционал трояна удаленного доступа (RAT) RatOn и модифицированной версии вредоносного приложения NFCGate, что создает комплексный инструмент для хищения средств и конфиденциальных данных.

Угроза характеризуется многоступенчатым, скрытным механизмом внедрения, который эксперты обозначают как «схема матрёшки». Первоначально пользователь может установить приложение-приманку, которое мимикрирует под легитимный софт (в исследованных образцах использовалась маскировка под клиент TikTok). После установки и запуска, это приложение из своих внутренних ресурсов, под видом необходимого обновления, устанавливает второй APK-файл — непосредственно троян RatOn. Троян, в свою очередь, производит загрузку и инсталляцию третьего компонента — модифицированного приложения NFCGate, ответственного за перехват данных с банковских карт через интерфейс NFC.

вирус в ТикТоке

Объединение возможностей двух типов вредоносного ПО обеспечивает злоумышленникам беспрецедентно широкий контроль над скомпрометированным устройством.

1. Удаленное управление и слежка. Ключевую роль в обеспечении удаленного управления играет злоупотребление службой специальных возможностей Android (Accessibility Service). Получив соответствующие разрешения, злоумышленники могут в реальном времени просматривать экран устройства, выполнять на нем произвольные действия (например, клики и ввод текста), а также скрывать свою активность с помощью наложения «чёрных окон». Вредоносное ПО способно перехватывать все текстовые элементы с экрана с высокой частотой, а также непрерывно мониторить и подменять содержимое буфера обмена, что критично для перехвата одноразовых паролей или подмены реквизитов при переводе средств.

2. Финансовые хищения. Функционал позволяет проводить комплексные атаки на финансовые активы жертвы. Это включает автоматизированный запуск банковских приложений, ввод заранее известного злоумышленникам ПИН-кода (полученного, как правило, методами социальной инженерии), изменение настроек лимитов и совершение переводов на подконтрольные счета. Отдельно стоит функция NFC-relay, позволяющая перехватывать данные с контактных банковских карт при их поднесении к зараженному смартфону. Также под угрозой находятся данные криптокошельков и иных платёжных приложений.

3. Кража данных и манипуляции. Кроме финансовых операций, троян занимается сбором обширного объема личной информации. Он может автоматически открывать социальные сети и мессенджеры, извлекая данные профиля. Дополнительные манипулятивные функции включают создание и подмену контактов в адресной книге (для повышения уровня доверия к входящим звонкам или сообщениям от мошенников), а также принуждение пользователя к смене графического ключа или пароля разблокировки устройства с последующим их перехватом.

Изначальный образец RatOn был ориентирован на пользователей в Чехии, однако его код изначально содержит поддержку русского языка, что свидетельствует о подготовке к кампаниям на территории России и других русскоязычных регионов. Эксперты отмечают устойчивую тенденцию: ранее обнаруженные в других странах модификации NFCGate (включая «прямую», «обратную» версии и вариант SuperCard) впоследствии активно использовались против клиентов российских банков. Учитывая более широкий и опасный функционал связки RatOn + NFCGate, аналитики ожидают её скорую адаптацию и активное применение в атаках на российских пользователей. Косвенным признаком возможного происхождения разработки могут служить фразы на украинском языке, обнаруженные в логах приложения.

вирус RatOn

Для противодействия подобным сложным угрозам необходимо неукоснительное соблюдение правил цифровой гигиены:

  1. Исключительно официальные источники. Устанавливайте приложения только из доверенных магазинов: Google Play, RuStore или с официальных сайтов разработчиков. Избегайте установки APK-файлов из полученных в мессенджерах, электронной почте или SMS ссылок.
  2. Критическая оценка перед установкой. Внимательно изучайте отзывы, количество загрузок и репутацию разработчика даже в официальных магазинах. Отсутствие истории или негативные отзывы о запросе подозрительных разрешений — серьёзный сигнал.
  3. Жёсткий контроль разрешений. Никогда не предоставляйте приложениям, особенно малознакомым, разрешение на Управление специальными возможностями (Accessibility Service), если его функционал этого явно не требует (например, приложения для людей с ограниченными возможностями). Данное разрешение является основным вектором для получения трояном полного контроля.
  4. Повышение осведомлённости. Помните, что легитимные сотрудники банков или государственных служб никогда не запрашивают для «защиты» установку сторонних приложений, не просят сообщать ПИН-коды, CVV/CVC-коды карт или коды из SMS.
  5. Своевременные обновления. Регулярно обновляйте операционную систему Android и все установленные приложения для устранения известных уязвимостей.
  6. Использование защитных решений. Активируйте встроенный сканер Google Play Protect, а также рассмотрите возможность установки антивирусного решения от проверенного вендора.

При малейшем подозрении на компрометацию устройства или банковской карты необходимо немедленно обратиться в службу поддержки банка по номеру телефона, указанному на официальном сайте, для блокировки карты и проведения проверки.

Мы есть в Дзене (самое интересное) и Telegram (коротко о главном)

Рекомендуем почитать:

Главный редактор AndroidLime.ru. Автор Hi-Tech Mail, Клуба DNS и других классных сайтов. Пишу про технологии, гаджеты и сотовую связь. Почта: slavik.sc@gmail.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *