CyberThao
Writer
Một loại phần mềm độc hại Android mới có tên RatOn vừa được phát hiện, phát triển từ một công cụ cơ bản có khả năng thực hiện tấn công chuyển tiếp NFC thành một trojan tinh vi với chức năng Hệ thống truyền tự động (ATS) nhằm thực hiện gian lận tài chính.
Theo công ty bảo mật di động Hà Lan, RatOn kết hợp tấn công lớp phủ truyền thống, chuyển tiền tự động và NFC relay, khiến nó trở thành mối đe dọa đặc biệt mạnh mẽ.
Trojan này có khả năng chiếm đoạt tài khoản, nhắm đến nhiều ứng dụng ví điện tử như MetaMask, Trust, Blockchain.com và Phantom, đồng thời khai thác ứng dụng ngân hàng George Česko tại Cộng hòa Séc để thực hiện chuyển tiền tự động.
RatOn không chỉ dừng ở gian lận ngân hàng mà còn có thể khóa thiết bị và hiển thị màn hình giả dạng ransomware, buộc nạn nhân trả 200 USD (~4,9 triệu VNĐ) để lấy lại quyền truy cập. Những thông báo này thường cáo buộc người dùng xem hoặc phát tán nội dung bất hợp pháp, tạo cảm giác khẩn cấp để ép họ mở ứng dụng ví và thực hiện giao dịch.
Biến thể đầu tiên của RatOn được phát hiện vào 5/7/2025, và các mẫu mới nhất xuất hiện vào 29/8/2025, cho thấy hoạt động phát triển liên tục.
RatOn được phát tán qua các trang giả mạo Google Play, ngụy trang thành ứng dụng TikTok 18+ để dụ người dùng cài đặt. Chiến dịch hiện tập trung vào người dùng Séc và Slovakia.
Quy trình lây nhiễm:
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/raton-android-malware-detected-with-nfc.html
Theo công ty bảo mật di động Hà Lan, RatOn kết hợp tấn công lớp phủ truyền thống, chuyển tiền tự động và NFC relay, khiến nó trở thành mối đe dọa đặc biệt mạnh mẽ.
Trojan này có khả năng chiếm đoạt tài khoản, nhắm đến nhiều ứng dụng ví điện tử như MetaMask, Trust, Blockchain.com và Phantom, đồng thời khai thác ứng dụng ngân hàng George Česko tại Cộng hòa Séc để thực hiện chuyển tiền tự động.
Cách RatOn hoạt động và phát tán
RatOn không chỉ dừng ở gian lận ngân hàng mà còn có thể khóa thiết bị và hiển thị màn hình giả dạng ransomware, buộc nạn nhân trả 200 USD (~4,9 triệu VNĐ) để lấy lại quyền truy cập. Những thông báo này thường cáo buộc người dùng xem hoặc phát tán nội dung bất hợp pháp, tạo cảm giác khẩn cấp để ép họ mở ứng dụng ví và thực hiện giao dịch.
Biến thể đầu tiên của RatOn được phát hiện vào 5/7/2025, và các mẫu mới nhất xuất hiện vào 29/8/2025, cho thấy hoạt động phát triển liên tục.
RatOn được phát tán qua các trang giả mạo Google Play, ngụy trang thành ứng dụng TikTok 18+ để dụ người dùng cài đặt. Chiến dịch hiện tập trung vào người dùng Séc và Slovakia.
Quy trình lây nhiễm:
- Ứng dụng dropper yêu cầu bật cài đặt ứng dụng từ nguồn không xác định.
- Sau khi được cài đặt, nó xin quyền trợ năng, quản trị thiết bị, đọc/ghi danh bạ, quản lý cài đặt hệ thống.
- Tiếp theo, tải về NFSkate, một malware khác có khả năng NFC relay thông qua kỹ thuật Ghost Tap.
Những chức năng nguy hiểm của RatOn
- Chiếm quyền điều khiển tài khoản: Tự động mở ví, nhập PIN đánh cắp, truy cập vào seed phrase.
- Truyền màn hình và keylogger: Ghi lại thao tác và dữ liệu người dùng, gửi về máy chủ tội phạm.
- Tính năng ransomware giả: Khóa máy, hiển thị thông báo tống tiền, tạo áp lực tâm lý.
- Điều khiển từ xa: Thực thi nhiều lệnh như gửi thông báo đẩy giả (send_push), gửi SMS (send_sms), khóa màn hình (screen_lock), cài thêm malware (nfs), mở ứng dụng WhatsApp hoặc Facebook, thậm chí ghi lại và phát trực tiếp màn hình.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/raton-android-malware-detected-with-nfc.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview