Siber güvenlik araştırmacıları, son aylarda yeni bir Android bankacılık Truva atı Truva atının ortaya çıktığını gözlemlediler, bu da uzaktan erişim özelliklerini NFC rölesi teknolojisi ve otomatik aktarım sistemi (ATS) işlevleriyle sorunsuz bir şekilde birleştirdi.
Başlangıçta Temmuz 2025’in ortalarında tespit edilen Raton’un çok aşamalı mimarisi, sonraki yükleri yüklemek için bir damlalık uygulamasından yararlanır, tam cihaz devralma ve hileli işlem yürütme ile sonuçlanır.
Truva atı, üçüncü taraf yükleyiciler olarak maskelenen yetişkin temalı alanlar aracılığıyla dağıtılır ve Çek ve Slovak kullanıcılarını ilk kampanyasında hedefler.
Sofistike tasarımı, saldırganların hem ekran durumu izleme hem de meşru bankacılık uygulamalarıyla otomatik etkileşimler için erişilebilirliği ve cihaz yöneticisi izinlerini kötüye kullanmasına olanak tanır.
Tehdit kumaş analistleri, Raton’un geliştiricilerinin kötü amaçlı yazılımları tamamen sıfırdan yazmış gibi göründüğünü ve mevcut Android bankacılık ailelerinden belirgin bir kod yeniden kullanımı yapmadığını belirtti.
Kurulumun ardından ilk yük, bir WebView arabirimi aracılığıyla erişilebilirlik hizmeti erişimini ister ve daha sonra sistem ayarlarını ve kişileri yönetmek için ayrıcalıkları artırır.
.webp)
Bir kez verildikten sonra, bu izinler Truva atının arka planda gizli bir şekilde çalışmasını sağlar ve kaynak yoğun ekran dökümünden ziyade ekran öğelerini erişilebilirlik API ile yakalar.
Raton daha sonra NFC röle atakları için ortada tasarlanmış ve kartı sıyırmayı etkili bir şekilde birleştirerek, üçüncü aşamalı bir yük yükü-nfsket kötü amaçlı yazılım-yükler.
Tehdit kumaş araştırmacıları, otomatik transfer özelliğinin özellikle bir Çek bankacılığı başvurusu olan “George česko” a odaklandığını tespit etti.
Kontrol sunucusundan JSON biçimlendirilmiş bir komut aldıktan sonra Raton, hedeflenen bankacılık uygulamasını başlatır ve yetkisiz transferler yürütmek için PIN girişi de dahil olmak üzere kullanıcı etkileşimlerini simüle eder.
Bu hassasiyet düzeyi, eleman tabanlı arama başarısız olduğunda, tabanlı tıklamayı koordine etmek için bankanın kullanıcı arayüzünün derin bir şekilde anlaşılmasını gösterir.
Özellikle, Truva atı, daha önceki kimlik avı veya kaplama adımları sırasında hasat edilen işlem pimlerini otomatik olarak onaylar ve hileli transferlerin kullanıcı müdahalesi olmadan ilerlemesini sağlar.
.webp)
Gözlenen bir transfer rutininde, operatör Raton’a alıcı detayları içeren bir JSON nesnesi yayınlar:-
{
"command_id": "transfer",
"receiver_name": "John Doe",
"account_number": "CZ6508000000001234567899",
"amount": "15000",
"currency": "CZK"
}Enfeksiyon mekanizması
Raton’un enfeksiyon zinciri, kurbanı üçüncü taraf uygulama kurulumlarını etkinleştirmeye teşvik eden bir damlalık uygulaması ile başlar.
Kullanıcı onayı üzerine, damlalık, sabit kodlanmış bir URL’ye işaret eden bir webiz görüşü oluşturur ve bir installApk() sayfaya işlev görür.
Kurban ekran düğmesine dokunduğunda, damlalık çağırır installApk() İkinci aşamalı yükü silmek için:-
webView.addJavascriptInterface(new Object() {
@JavascriptInterface
public void installApk() {
PackageInstaller.SessionParams params =
new PackageInstaller.SessionParams(PackageInstaller.SessionParams.MODE_FULL_INSTALL);
int sessionId = packageInstaller.createSession(params);
// ... install logic for payload.apk ...
packageInstaller.openSession(sessionId).write(...);
packageInstaller.openSession(sessionId).commit(...);
}
}, "DropperInterface");Kurulumdan sonra, yük hemen ek WebView iletişim kutuları aracılığıyla erişilebilirlik ve aygıt yöneticisi ayrıcalıkları ister.
Bu yükseltilmiş izinlerden yararlanarak, Raton kalıcılık oluşturur ve tespitten kaçınır: izin diyaloglarını keser, istekleri otomatik olarak kabul eder ve gerekirse cihazı fidye için kilitler.
Kaplama saldırıları, NFC röle bileşenleri ve otomatik işlemlerin kombinasyonu Raton’u bugüne kadarki en gelişmiş bankacılık Truva atlarından biri haline getiriyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.