RatOn là một mã độc ngân hàng Android mới được phát hiện, kết hợp các kỹ thuật tấn công overlay truyền thống với chiêu trò tiếp sức NFC để chiếm đoạt tài khoản ngân hàng. Mã độc này có khả năng tự động thực hiện các giao dịch chuyển tiền, đánh dấu một bước phát triển đáng kể trong lĩnh vực gian lận di động.

Mã Độc Ngân Hàng Android RatOn: Sự Kết Hợp Tấn Công Độc Đáo

Nguồn Gốc và Phát Triển

Được phát triển từ đầu bởi một nhóm tác nhân đe dọa hoạt động từ tháng 7 năm 2025, RatOn đại diện cho một sự tiến hóa đáng kể. Không giống như các công cụ tiếp sức NFC độc lập hay các Trojan truy cập từ xa (RAT) cơ bản, RatOn tích hợp một Hệ thống Chuyển Tiền Tự Động (ATS).

Hệ thống này cho phép mã độc tự động di chuyển tiền qua giao diện ứng dụng ngân hàng mục tiêu. Các nhà nghiên cứu bảo mật đã phát hiện ra khả năng này, nhấn mạnh mức độ tinh vi của mối đe dọa mạng mới.

Vector Lây Nhiễm Ban Đầu

Vector truy cập ban đầu của RatOn liên quan đến các miền độc hại mang chủ đề “TikTok18+” để lưu trữ một tệp APK dropper. Nạn nhân cấp quyền cài đặt từ các nguồn không xác định sẽ được cung cấp một trình cài đặt dựa trên WebView.

Trình cài đặt này sẽ kích hoạt tải xuống và cài đặt side-load tải trọng giai đoạn hai. Đây là một phương pháp tấn công mạng phổ biến nhằm vượt qua các biện pháp bảo mật mặc định.

Cơ Chế Khai Thác Đặc Quyền

Sau khi được cài đặt, tải trọng ngay lập tức yêu cầu quyền truy cập dịch vụ trợ năng (Accessibility service) và quyền quản trị thiết bị (Device Administrator) thông qua các WebView bổ sung. RatOn lạm dụng các quyền này để tự động hóa tương tác giao diện người dùng mà không cần sự nhận biết của người dùng.

Với quyền truy cập trợ năng, RatOn có thể thực hiện nhiều hành vi độc hại. Chúng bao gồm việc giám sát và kiểm soát thiết bị một cách hoàn toàn.

Tính Năng Điều Khiển và Khai Thác

Bộ lệnh của RatOn, được gửi dưới dạng các đối tượng JSON, bao gồm truyền phát màn hình trực tiếp, giả mạo thông báo đẩy, khóa thiết bị và thao túng bảng nhớ tạm (clipboard). Điều này cho thấy khả năng kiểm soát toàn diện thiết bị đã bị nhiễm.

Trang web có thể gọi hàm installApk nếu nạn nhân nhấn nút tương ứng. Đây là một phương thức lừa đảo tinh vi.

Các lệnh của RatOn cho phép kẻ tấn công điều khiển thiết bị từ xa. Dưới đây là một số chức năng chính:

• Phát trực tiếp màn hình thiết bị.
• Giả mạo các thông báo đẩy.
• Khóa thiết bị từ xa.
• Thao tác với dữ liệu trong bảng nhớ tạm.

Hệ Thống Chuyển Tiền Tự Động (ATS) và Mục Tiêu Ngân Hàng

Quy Trình Tấn Công Ngân Hàng Cụ Thể

Một điểm đáng chú ý là lệnh chuyển tiền hướng dẫn trojan mở ứng dụng của ngân hàng Cộng hòa Séc (“George Česko”). Sau đó, nó điều hướng các yếu tố giao diện người dùng như “Nová platba” (Thanh toán mới) và “Odeslat” (Gửi) theo tên hoặc tọa độ đã mã hóa cứng.

Mã độc nhập mã PIN bị đánh cắp để hoàn tất giao dịch. Mô-đun ATS của RatOn thể hiện sự hiểu biết sâu sắc về quy trình giao diện người dùng của ngân hàng mục tiêu.

Trước mỗi lần chuyển tiền, nó có thể truy vấn và điều chỉnh giới hạn giao dịch thông qua các lệnh check_limit và limit. Khi các tham số được thiết lập, trojan sẽ tiến hành các bước thanh toán, kết thúc bằng việc tự động nhập mã PIN xác nhận.

Tiền sau đó được chuyển đến các tài khoản “mule”, cho thấy sự hợp tác với các đối tác địa phương hoặc mạng lưới rửa tiền ở Cộng hòa Séc và có thể cả Slovakia. Đây là một hình thức mã độc ngân hàng Android rất nguy hiểm.

Mục Tiêu Ví Điện Tử Tiền Mã Hóa

Ngoài các giao dịch chuyển tiền fiat, RatOn còn nhắm mục tiêu vào bốn ví tiền điện tử lớn, trích xuất các cụm từ khôi phục bí mật thông qua tự động hóa giao diện người dùng. Chức năng toàn cầu này khiến RatOn trở thành một mối đe dọa mạnh mẽ đối với những người nắm giữ tiền điện tử trên toàn thế giới.

RatOn khởi chạy ứng dụng ví, nhập mã PIN bị đánh cắp, điều hướng đến cài đặt bảo mật và tiết lộ các cụm từ khôi phục. Các cụm từ này sau đó được truyền ra ngoài thông qua thành phần keylogger của nó.

Tổng Hợp Các Kỹ Thuật Tấn Công Của RatOn

Sự Tinh Vi của Mã Độc

Sự kết hợp giữa chức năng tiếp sức NFC, các tính năng RAT, chiến thuật tống tiền overlay và chuyển khoản tự động của RatOn đánh dấu một chương mới về sự tinh vi của phần mềm độc hại di động. Trong khi trọng tâm tự động rửa tiền của nó làm giảm nhu cầu đối với ransomware truyền thống, các ghi chú tống tiền overlay của nó vẫn có sẵn như một phương pháp tống tiền dự phòng.

Xem thêm phân tích chi tiết về RatOn tại ThreatFabric. Đây là một ví dụ điển hình về mã độc ngân hàng Android đa chức năng.

Các Biện Pháp Giảm Thiểu Rủi Ro Bảo Mật

Các nhóm an ninh cần ưu tiên các biện pháp giảm thiểu sau để đối phó với rủi ro bảo mật do RatOn gây ra:

• Nâng cao nhận thức người dùng: Cảnh báo người dùng về các tên miền lừa đảo và nguy cơ cài đặt ứng dụng từ nguồn không xác định, đặc biệt là các ứng dụng giả mạo như “TikTok18+”.
• Giám sát quyền truy cập ứng dụng: Khuyến nghị người dùng thường xuyên kiểm tra và thu hồi các quyền truy cập nhạy cảm (Accessibility Service, Device Administrator) cho các ứng dụng không đáng tin cậy.
• Tăng cường phát hiện phần mềm độc hại: Sử dụng các giải pháp bảo mật di động tiên tiến để phát hiện và ngăn chặn các biến thể trojan banking mới, bao gồm các kỹ thuật tiếp sức NFC và ATS.
• Cập nhật hệ điều hành và ứng dụng: Đảm bảo hệ điều hành Android và các ứng dụng ngân hàng luôn được cập nhật phiên bản mới nhất, bao gồm các bản vá bảo mật.
• Giám sát giao dịch bất thường: Các tổ chức tài chính cần tăng cường hệ thống giám sát giao dịch để phát hiện kịp thời các hoạt động chuyển tiền tự động hoặc bất thường.

Khi các tác nhân đe dọa tiếp tục tinh chỉnh các trojan di động đa giai đoạn, sự hợp tác giữa các tổ chức tài chính, nhà cung cấp hệ điều hành di động và các nhà nghiên cứu bảo mật sẽ đóng vai trò quan trọng. Điều này giúp phá vỡ các chuỗi tấn công mới nổi như RatOn và bảo vệ người dùng khỏi mã độc ngân hàng Android.