Ga naar inhoud
  • Drifter

    Door Drifter

    Drifter

    Door Drifter

    Een nieuwe, geraffineerde Android-trojan die geld van telefoons kan stelen

    Cyberonderzoekers hebben een nieuwe Android-trojan gedetecteerd die onder de naam RatOn circuleert. In tegenstelling tot veel andere mobiele malwarefamilies, lijkt RatOn grotendeels vanaf nul opgebouwd te zijn en maakt het gebruik van een combinatie van meerdere aanvalstechnieken — waardoor hij zowel flexibel als efficiënt is. Dat maakt de malware lastig te herkennen met klassieke handtekening-gebaseerde detectie.

    Wat RatOn kan: meerdere aanvalsvectoren gecombineerd
    RatOn combineert meerdere methodes in één pakket: overlay-phishing (valse inlogschermen over echte apps), geautomatiseerde transfer-acties (Automated Transfer System of ATS), en zelfs NFC-relay tactieken die contactloze betalingen kunnen misbruiken. Daarnaast bevat de malware backdoors/remote-access functionaliteit waarmee de aanvallers vrijwel het toestel op afstand kunnen aansturen. Die mix maakt RatOn bijzonder effectief tegen zowel banking-apps als crypto-wallets.

    Doelwitten: Tsjechië & Slowakije, banken en crypto-wallets
    De eerste campagnes lijken zich te richten op klanten van Tsjechische bankapps — met als prominent voorbeeld de mobiele bankapp van George (George Česko) — en op gebruikers van grote crypto-wallets zoals MetaMask, Trust Wallet, Blockchain.com en Phantom. Onderzoekers vonden aanwijzingen dat de operators voornamelijk gebruikers in Tsjechië en Slowakije bewerken, maar de gebruikte technieken kunnen snel ook andere landen en apps raken.

    Verspreiding: valse app-stores en ‘TikTok 18+’ droppers
    De campagne gebruikt gespoofde app-winkels en neppagina’s die volwassen-versies van populaire apps aanbieden — veel genoemd is een nep-apppagina met de naam “TikTok 18+”. Gebruikers worden verleid om de dropper buiten de officiële Play Store te installeren (sideloading). Eenmaal geïnstalleerd vraagt de dropper vaak expliciet om machtigingen en probeert hij de gebruiker zo te manipuleren dat er meer kwaadaardige componenten mogen worden geïnstalleerd.

    Hoe de overname precies werkt (technische stappen, kort)

    1. De dropper wordt geïnstalleerd via een neppagina of externe store.

    2. De app vraagt om gevaarlijke rechten (bijv. installatie uit onbekende bronnen en vooral Accessibility Services).

    3. Met Accessibility-rechten en overlays kan RatOn valse schermen tonen boven echte bank- of wallet-apps en zo inloggegevens, PINs of seed-phrases aftroggelen.

    4. Met ATS-functionaliteit kan de malware automatisch knoppen in de bankapp bedienen en geld overboeken zonder dat de gebruiker dit merkt. In sommige varianten wordt ook NFC-relay gebruikt om contactloze betalingen te misbruiken.

    Ransomware-achtige ontkrachtings-scènes
    Naast directe diefstal kan RatOn een vals vergrendelscherm tonen en beweren dat de telefoon is geblokkeerd wegens het bekijken van illegale content — met een eis tot betaling (bijvoorbeeld een bedrag in crypto) om het toestel ‘vrij te kopen’. Dat is in technisch opzicht een overlay-extortiemethode: het scherm is niet altijd een echte systeemlock; vaak worden gebruikers psychologisch onder druk gezet. Onderzoek wijst uit dat dergelijke meldingen geloofwaardig overkomen, vooral bij minder ervaren gebruikers.

    Praktische beschermingsmaatregelen (wat je direct kunt doen)

    • Installeer alleen apps uit de officiële Play Store. Sideloaden is de meest voorkomende infectieweg.
    • Wees terughoudend bij links en downloads: verdachte advertenties of ‘adult-versies’ van apps zijn vaak lokazen.
    • Geef geen Accessibility-rechten aan onbekende apps. Deze machtiging geeft enorme controle over een toestel.
    • Schakel installatie uit onbekende bronnen uit in Android-instellingen en houd Play Protect actief.
    • Activeer tweestapsverificatie (2FA) voor bank- en crypto-accounts. Gebruik bij voorkeur hardware- of app-based 2FA (geen SMS als het kan).
    • Controleer bank- en wallet-accounts regelmatig op ongewone transacties en meld verdachte activiteit meteen bij je bank of exchange.
    • Gebruik een gerenommeerde mobiele beveiligingsapp die gedrag en bekende indicatoren kan detecteren (maar vertrouw daar niet blind op).

    Wat doen als je denkt geïnfecteerd te zijn

    1. Zet je telefoon offline (vliegtuigmodus) om netwerkactiviteit te stoppen.

    2. Verwijder recent geïnstalleerde verdachte apps via Instellingen → Apps. Als dat niet lukt, start op in veilige modus en verwijder de app daar.

    3. Verander wachtwoorden en maak seed-phrases veilig (indien mogelijk met een schoon toestel).

    4. Neem contact op met je bank en eventueel met de wallet-provider om mogelijke fraude te blokkeren.

    5. Overweeg een fabrieksreset als je het vertrouwen in het toestel kwijt bent — maar maak eerst een veilige backup van noodzakelijke gegevens zonder apps/installers.

    Kans op lokale verspreiding (waarom wij voorlopig minder risico lopen)
    Op dit moment waren de meeste observaties gelokaliseerd rond Tsjechië en Slowakije en gericht op één of enkele bankapps. Dat vermindert de kans dat iedereen onmiddellijk getroffen wordt — maar de onderliggende technieken zijn universeel. Zodra criminelen hun infrastructuur opschalen of andere bankapps als target toevoegen, kan dit snel veranderen. Blijf daarom alert, ook al lijkt het nu geografisch beperkt.

    Kort en concreet: wat je nú moet onthouden

    • Installeer geen apps van onbekende bronnen (nee, ook niet “TikTok 18+”).
    • Geef geen Accessibility-rechten aan apps die je niet volledig vertrouwt.
    • Gebruik 2FA en houd je software up-to-date.
    • Controleer rekeningen regelmatig; bij ongewone transacties direct contact opnemen met je bank.

    Door: Drifter

    Ga naar articles

    Feedback Gebruiker

    Aanbevolen Reacties

    Er zijn geen reacties om weer te geven.



    Log in om te reageren

    Je kunt een reactie achterlaten na het inloggen



    Login met de gegevens die u gebruikt bij softtrack

×
×
  • Nieuwe aanmaken...