Yeni bir Android kötü amaçlı yazılım Raton Cihaz sahtekarlığı yapmak için otomatik aktarım sistemi (ATS) özelliklerine sahip sofistike bir uzaktan erişim Truva atına yakın alan iletişimi (NFC) röle saldırıları gerçekleştirebilen temel bir araçtan gelişmiştir.
Hollandalı mobil güvenlik şirketi bugün yayınlanan bir raporda, “Raton, geleneksel bindirme saldırılarını otomatik para transferleri ve NFC rölesi işlevselliği ile birleştiriyor – onu benzersiz bir şekilde güçlü bir tehdit haline getiriyor.” Dedi.
Bankacılık Trojan, Metamask, Trust, Blockchain.com ve Phantom gibi kripto para birimi cüzdan uygulamalarını hedefleyen hesap devralma işlevleri ile birlikte gelirken, aynı zamanda Çek Cumhuriyeti’nde kullanılan bir banka başvurusu olan George česko’yu kötüye kullanan otomatik para transferleri gerçekleştirebilir.
Ayrıca, özel bindirme sayfaları ve cihaz kilitleme kullanarak fidye yazılımı benzeri saldırılar gerçekleştirebilir. Hook Android Trojan’ın bir varyantının, gasp mesajlarını görüntülemek için fidye yazılımı tarzı kaplama ekranlarını dahil ettiğini belirtmek gerekir.
Raton’un ilk dağıtımını 5 Temmuz 2025’te Vahşi’de tespit edildi ve 29 Ağustos 2025’e yakın bir zamanda keşfedildi ve operatörlerin aktif geliştirme çalışmasını gösterdi.
Raton, Trojan’ı teslim eden kötü niyetli damlalık uygulamalarına ev sahipliği yapmak için Tiktok’un (Tiktok 18+) yetişkin dostu bir versiyonu olarak maskelenen sahte oyun mağazası listeleme sayfalarından yararlandı. Şu anda kullanıcıların bu sitelere nasıl çekildiği açık değil, ancak etkinlik Çek ve Slovak konuşan kullanıcıları seçti.
Droper uygulaması yüklendikten sonra, kullanıcıdan, Android’in erişilebilirlik hizmetlerinin kötüye kullanılmasını önlemek için Google tarafından uygulanan kritik güvenlik önlemlerini atlayacak şekilde üçüncü taraf kaynaklardan gelen uygulamaları yükleme izni ister.
İkinci aşamalı yük daha sonra cihaz yönetimi ve erişilebilirlik hizmetlerinin yanı sıra kötü niyetli işlevselliğini gerçekleştirmek için kişileri okuma/yazma ve sistem ayarlarını yönetme izinleri için devam eder.
Bu, gerektiğinde ek izin vermeyi ve üçüncü aşamalı bir kötü amaçlı yazılım indirmeyi içerir, bu da Ghost Tap adlı bir teknik kullanarak NFC röle saldırıları gerçekleştirebilen NFSKate kötü amaçlı yazılımlardan başka bir şey değildir. Kötü amaçlı yazılım ailesi ilk olarak Kasım 2024’te belgelendi.
“Hesap devralma ve otomatik transfer özellikleri, tehdit oyuncunun hedeflenen uygulamaların iç kısımlarını oldukça iyi bildiğini göstermiştir.” Dedi.
Hepsi bu değil. Raton ayrıca, kullanıcıların telefonlarının çocuk pornografisini görüntülemek ve dağıtmak için kilitli olduğunu ve iki saat içinde erişimi yeniden kazanmak için kripto para biriminde 200 $ ödemeleri gerektiğini iddia ederek fidye notuna benzeyen kaplama ekranlarına da hizmet verebilir.
Fidye notlarının yanlış bir aciliyet duygusu uyandırmak ve kurbanı kripto para birimi uygulamalarını açmaya zorlamak, işlemi derhal yapmak ve saldırganların süreçte cihaz pin kodunu yakalamasını sağlamak için tasarlandığından şüpheleniliyor.
“Karşılık gelen komuttan sonra, Raton hedeflenen kripto para birimi cüzdan uygulamasını başlatabilir, çalıntı PIN kodunu kullanarak kilidini açabilir, uygulamanın güvenlik ayarlarıyla ilgili arayüz öğelerine tıklayabilir ve son adımda gizli ifadeleri açığa çıkarır.” Dedi.
Hassas veriler daha sonra bir Keylogger bileşeni tarafından kaydedilir ve tehdit aktörlerinin kontrolü altında harici bir sunucuya sızdırılır, bu da kurbanların hesaplarına yetkisiz erişim elde etmek ve kripto para birimi varlıklarını çalmak için tohum ifadelerini kullanabilir.
Raton tarafından işlenen bazı önemli komutlar aşağıda listelenmiştir –
- Send_push, sahte push bildirimleri göndermek için
- Screen_lock, aygıt kilitleme ekran zaman aşımını belirli bir değere değiştirmek için
- Whatsapp, whatsapp’ı başlatmak için
- App_inject, hedeflenen finansal başvurular listesini değiştirmek için
- update_device, cihaz parmak izi içeren yüklü uygulamaların bir listesini göndermek için
- Send_sms, erişilebilirlik hizmetlerini kullanarak bir SMS mesajı göndermek için
- Facebook, Facebook’u başlatmak için
- NFS, NFSkate APK kötü amaçlı yazılımını indirmek ve çalıştırmak için
- George česko’yu kullanarak ATS’yi aktarın
- Cihaz yönetimi erişimini kullanarak cihazı kilitlemek için kilitlemek
- Add_contact, belirli bir ad ve telefon numarasını kullanarak yeni bir kişi oluşturmak için
- Bir ekran döküm oturumunu başlatmak için kaydedin
- Ekran Dökümünü açmak/kapatmak için görüntüleyin
Tehdit Fabric, “Tehdit oyuncusu grubu başlangıçta Çek Cumhuriyeti’ni hedef aldı, Slovakya muhtemelen bir sonraki odak ülkesi.” Dedi. Diyerek şöyle devam etti: “Tek bir bankacılık uygulamasına odaklanmanın arkasındaki neden belirsizliğini koruyor. Ancak, otomatik transferlerin yerel bankacılık hesap numaraları gerektirmesi, tehdit aktörlerinin yerel para katırlarıyla işbirliği yapabileceğini düşündürmektedir.”