ایک نیا اینڈرائیڈ میل ویئر جسے ریٹ آن (RatOn) کہا جا رہا ہے، ایک بڑا سیکیورٹی خطرہ بن کر سامنے آیا ہے۔ یہ ایک بنیادی ٹول سے ترقی کرتے ہوئے، جو صرف نیئر فیلڈ کمیونیکیشن (NFC) ریلے حملے کر سکتا تھا، ایک مکمل ریموٹ ایکسس ٹروجن میں بدل گیا ہے جس میں آٹومیٹڈ ٹرانسفر سسٹم (ATS) کی صلاحیت بھی موجود ہے۔ ان دونوں صلاحیتوں کے ملاپ سے یہ میل ویئر پیچیدہ بینکنگ فراڈ انجام دینے کے قابل ہو گیا ہے۔
صلاحیتیں اور اہداف
ریٹ آن اکاؤنٹ ٹیک اوور (Account Takeover) کی صلاحیت رکھتا ہے اور یہ مشہور کرپٹو کرنسی والٹ ایپس جیسے میٹا ماسک، ٹرسٹ، بلاک چین ڈاٹ کام اور فینٹم کو نشانہ بنا رہا ہے۔ اس کے علاوہ اسے چیک ریپبلک میں استعمال ہونے والی بینکنگ ایپ “جارج چیسکو” کے ذریعے خودکار پیسے منتقل کرتے ہوئے بھی دیکھا گیا ہے۔
مالیاتی فراڈ کے علاوہ، ریٹ آن رینسم ویئر جیسے حملے بھی کر سکتا ہے۔ یہ جعلی اوورلے پیجز دکھا کر ڈیوائس کو لاک کر دیتا ہے اور تاوان کا مطالبہ کرتا ہے۔ یہ تکنیک HOOK اینڈرائیڈ ٹروجن کی پہلے سے دیکھی گئی خصوصیات سے ملتی جلتی ہے۔
سرگرمی کی ٹائم لائن
ریٹ آن کی پہلی تقسیم 5 جولائی 2025 کو دیکھی گئی تھی۔ مزید نمونے 29 اگست 2025 تک سامنے آئے ہیں، جو ظاہر کرتا ہے کہ اس میل ویئر پر اب بھی کام جاری ہے۔
اسے جعلی گوگل پلے اسٹور لسٹنگ کے ذریعے تقسیم کیا جا رہا ہے۔ ان میں سے ایک لسٹنگ نے ٹک ٹاک کے بالغوں کے لیے جعلی ورژن (TikTok 18+) کے طور پر خود کو ظاہر کیا۔ یہ ڈراپر ایپس ریٹ آن کو صارف کے ڈیوائس تک پہنچاتی ہیں۔ یہ مہم بنیادی طور پر چیک اور سلوواک زبان بولنے والے صارفین کو نشانہ بنا رہی ہے۔
انفیکشن کا عمل
انسٹال ہونے کے بعد، ڈراپر ایپلیکیشن صارف سے یہ اجازت مانگتی ہے کہ وہ تھرڈ پارٹی سورسز سے ایپس انسٹال کر سکے۔ یہ مرحلہ گوگل کے ان حفاظتی اقدامات کو بائی پاس کرنے کے لیے استعمال کیا جاتا ہے جو ایکسیسبلیٹی سروسز کے غلط استعمال کو روکتے ہیں۔
دوسرا مرحلہ ڈیوائس ایڈمنسٹریشن، ایکسیسبلیٹی سروسز، کانٹیکٹس اور سسٹم سیٹنگز تک رسائی جیسی مزید اجازتیں مانگتا ہے۔ یہ اجازتیں اسے مزید اختیارات دے دیتی ہیں اور یہ تیسرا میل ویئر ڈاؤن لوڈ کرتا ہے۔
تیسرا میل ویئر NFSkate ہے، جو NFC ریلے حملے کرنے کے لیے “Ghost Tap” تکنیک استعمال کرتا ہے۔ NFSkate کو پہلی بار نومبر 2024 میں شناخت کیا گیا تھا۔
حملے کے طریقے
ریٹ آن کے آپریٹرز کو نشانہ بنائے جانے والے بینکنگ اور کرپٹو کرنسی ایپس کے اندرونی نظام کی گہری سمجھ ہے۔ میل ویئر کو اس طرح بنایا گیا ہے کہ یہ ایپس کو ان لاک کر سکے، پن کوڈز چرا سکے اور سیکرٹ ریکوری فریز ظاہر کر سکے۔ یہ تمام ڈیٹا کی لاگنگ کے ذریعے ریکارڈ کیا جاتا ہے اور پھر اٹیکرز کے سرورز پر بھیج دیا جاتا ہے تاکہ وہ غیر مجاز رسائی حاصل کر سکیں اور کرپٹو کرنسی اثاثے چرا سکیں۔
یہ میل ویئر تاوان والے اوورلے اسکرینز بھی دکھا سکتا ہے۔ ان اسکرینز میں دعویٰ کیا جاتا ہے کہ صارف کا فون غیر قانونی مواد دیکھنے یا تقسیم کرنے کی وجہ سے لاک ہو گیا ہے۔ متاثرہ افراد کو کہا جاتا ہے کہ وہ دو گھنٹے کے اندر 200 ڈالر کی کرپٹو کرنسی ادا کریں تاکہ فون دوبارہ کھل سکے۔ اس طریقے کا مقصد متاثرہ شخص کو گھبراہٹ میں ڈالنا ہے تاکہ وہ فوراً اپنی کرپٹو والٹ ایپ کھولے، جس سے میل ویئر کو سیکیورٹی معلومات چرانے کا موقع مل جاتا ہے۔
اہم کمانڈز
ریٹ آن درج ذیل نمایاں کمانڈز پر عمل کر سکتا ہے:
•send_push: جعلی پش نوٹیفیکیشن بھیجنا
•screen_lock: لاک اسکرین ٹائم آؤٹ تبدیل کرنا
•WhatsApp: واٹس ایپ لانچ کرنا
•app_inject: نشانہ بنائی گئی مالیاتی ایپس کی فہرست کو اپ ڈیٹ کرنا
•update_device: انسٹال شدہ ایپس کی فہرست اور ڈیوائس فنگرپرنٹ بھیجنا
•send_sms: ایکسیسبلیٹی سروسز استعمال کرتے ہوئے ایس ایم ایس بھیجنا
•Facebook: فیس بک لانچ کرنا
•nfs: NFSkate میل ویئر ڈاؤن لوڈ اور چلانا
•transfer: جارج چیسکو کے ذریعے خودکار ٹرانسفر کرنا
•lock: ڈیوائس کو ایڈمنسٹریٹر کی رسائی سے لاک کرنا
•add_contact: نیا کانٹیکٹ شامل کرنا
•record: اسکرین کاسٹنگ شروع کرنا
•display: اسکرین کاسٹنگ آن یا آف کرنا
جغرافیائی ہدف
اب تک ریٹ آن نے صرف چیک ریپبلک کو نشانہ بنایا ہے، جبکہ سلوواکیہ کو ممکنہ اگلا ہدف سمجھا جا رہا ہے۔ ماہرین کے مطابق صرف ایک بینکنگ ایپ پر توجہ دینا غیر معمولی بات ہے۔ ایک ممکنہ وجہ یہ ہو سکتی ہے کہ اٹیکرز مقامی منی میولز کے ساتھ کام کر رہے ہیں، جس کے لیے مقامی اکاؤنٹ نمبرز درکار ہوتے ہیں۔
سورس
https://thehackernews.com/2025/09/raton-android-malware-detected-with-nfc.html?m=1
