Yeni Android Zararlısı: RatOn’un Tehlikeleri
Son dönemde ortaya çıkan RatOn adlı Android zararlısı, kullanıcıların cihazlarını tehdit eden oldukça gelişmiş bir uzaktan erişim trojanı olarak karşımıza çıkmaktadır. Bu zararlının, yakın alan iletişimi (NFC) saldırılarını gerçekleştiren basit bir araçtan, otomatik para transferi yapabilen gelişmiş bir malware’e dönüştüğü tespit edilmiştir. Hollanda merkezli bir mobil güvenlik şirketi, bu zararlının geleneksel overlay saldırılarını otomatik para transferi ile birleştirdiğini ve bu nedenle özgün bir tehdit oluşturduğunu açıklamıştır.
Bankacılık Uygulamalarına Yönelik Tehditler
RatOn, MetaMask, Trust, Blockchain.com ve Phantom gibi kripto para cüzdanı uygulamalarını hedef alarak hesap ele geçirme fonksiyonları ile donatılmıştır. Ayrıca, Çek Cumhuriyeti’nde kullanılan George Česko bankacılık uygulamasını kullanarak otomatik para transferi yapma yeteneğine de sahiptir. Bu durum, kullanıcıların finansal bilgilerini riske atmakla kalmayıp, aynı zamanda cüzdanlarına erişim sağlama potansiyeli taşımaktadır.
Ransomware tarzı saldırılar gerçekleştirerek cihazları kilitleme ve kişisel bilgileri tehdit etme yeteneği, bu zararlının ne kadar tehlikeli olduğunu gözler önüne sermektedir. 2025’in Temmuz ayında sahada tespit edilen ilk örneklerin ardından, devam eden gelişmeler bu zararlının hala aktif olduğunu göstermektedir.
Nasıl Yayılıyor?
RatOn, sahte Play Store listeleri üzerinden, TikTok 18+ gibi cinsel içerikli uygulamalarla kendini gizleyerek kurbanlarını hedef almaktadır. Kullanıcılar, bu sahte sayfalara nasıl çekiliyor bilinmemekle birlikte, özellikle Çek ve Slovakça konuşan kullanıcılar hedef alınmaktadır. Kullanıcı, kurulum sırasında üçüncü taraf kaynaklardan uygulama yüklemek için izin verdiğinde, Google’ın güvenlik önlemlerini aşarak zararlının potansiyeli artmaktadır.
İkinci aşamadaki yükler, cihaz yönetimi ve erişim hizmetleri için izin talep ederken, kritik bilgileri elde etmek üzere kullanıcıdan iletişim bilgilerine erişim izni istemektedir.
NFSkate Zararlısının Rolü
RatOn’un bir diğer kritik bileşeni de NFSkate adlı zararlıdır. Bu malware, NFC relay saldırılarını gerçekleştirirken, Ghost Tap adı verilen bir teknikle kullanıcıların bilgilerini çalmaktadır. NFSkate, 2024 Kasım ayında ilk kez belgelenmiş olup, RatOn için önemli bir aşama olmuştur.
RatOn, ayrıca kullanıcıların mobil telefonlarının ekranında sahte bir fidye notu göstererek korku yapıcı bir strateji izlemesiyle dikkat çekmektedir. Kullanıcıların çocuk pornografisi ile suçlandıkları iddialarının ardında, 200 dolarlık bir kripto para transferi talep edilmektedir. Bu durum, kullanıcıların aciliyet hissi yaşamasına ve otomatik para transferi yapmasına sebep olmaktadır.
Verilerin Ele Geçirilmesi
RatOn, kullanıcıların şifresini ele geçirip, ilgili kripto para cüzdanı uygulamalarını açarak erişim sağlamaktadır. Kullanıcılar, özel ifadelerini ortaya çıkaracak şekilde yönlendirilirken, bu süreçte keylogger bileşeni devreye girmekte ve kritik bilgileri toplayarak dış sunuculara iletmektedir. Böylece saldırganlar, mağdurların hesaplarına yetkisiz erişim sağlamakta ve kripto para varlıklarını çalmaktadır.
RatOn tarafından işleme alınan bazı önemli komutlar şunlardır: send_push (sahte bildirim gönderme), screen_lock (cihaz ekran kilidi ayarını değiştirme), app_inject (hedef finans uygulamalarının listesini değiştirme), transfer (George Česko ile otomatik para transferi yapma) ve lock (cihazı kilitleme).
Tehdidin Küresel Boyutu
ThreatFabric, RatOn’un başlangıçta Çek Cumhuriyeti’ne odaklandığını ve muhtemelen Slovakya’nın bir sonraki hedef olduğunu belirtmiştir. Bu zararlının neden yalnızca belirli bir bankacılık uygulamasına yoğunlaştığı belirsizliğini korurken, otomatik transferlerin yerel bankacılık hesap numaralarını gerektirmesi nedeniyle, yerel para aklayıcılarla işbirliği yapıyor olabileceği düşünülmektedir.
Bu durum, mobil güvenlik konularında dikkatli olunması gerektiğini ve kullanıcıların bilinçlenmesinin önemini bir kez daha gözler önüne sermektedir. Uygulama izinlerine dikkat etmek, sahte uygulamalara karşı bilinçli olmak ve güvenilir kaynaklardan yazılım indirmek, mobil güvenliği sağlamak adına kritik adımlardır.
