RatOn Android Malware

تطور برنامج خبيث جديد لنظام أندرويد، يُدعى RatOn، بسرعة من أداة بسيطة لنقل البيانات عبر الاتصال قريب المدى (NFC) إلى حصان طروادة متطور للوصول عن بُعد (RAT). بفضل وظائف نظام النقل الآلي (ATS)، ووحدات الهجوم المتراكبة، وميزاته الشبيهة ببرامج الفدية، يبرز RatOn كواحد من أكثر التهديدات تنوعًا التي تستهدف الأجهزة المحمولة.

مزيج فريد من متجهات الهجوم

يتميز RatOn بقدرته على دمج العديد من التقنيات الضارة في إطار عمل واحد:

• هجمات التراكب لسرقة بيانات الاعتماد.
• التحويلات المالية الآلية (ATS) لاستنزاف الحسابات المصرفية.
• قدرات نقل NFC عبر تقنية Ghost Tap.

يجعل هذا المزيج برنامج RatOn خطيرًا للغاية مقارنة بأحصنة طروادة المصرفية النموذجية التي تعمل بنظام Android.

الأهداف: التطبيقات المصرفية والعملات المشفرة

صُمم البرنامج الخبيث بوظائف الاستيلاء على الحسابات، والتي تستهدف تحديدًا تطبيقات محافظ العملات المشفرة مثل MetaMask وTrust وBlockchain.com وPhantom. كما يستغل تطبيق George Česko، وهو تطبيق مصرفي شائع في جمهورية التشيك، لأتمتة التحويلات الاحتيالية.

إلى جانب السرقة المالية، يستطيع RatOn قفل الأجهزة ونشر شاشات فدية مزيفة. تُحاكي هذه الشاشات رسائل الابتزاز، وتتهم الضحايا بمشاهدة أو توزيع محتوى غير قانوني، وتطالبهم بدفع 200 دولار أمريكي من العملات المشفرة خلال ساعتين. لا تقتصر أساليب الإكراه هذه على الضغط على المستخدمين فحسب، بل تتيح للمهاجمين أيضًا فرصة الحصول على رموز PIN واختراق تطبيقات المحفظة الإلكترونية مباشرةً.

تكتيكات التطوير والانتشار النشط

ظهرت أول عينة من RatOn في 5 يوليو 2025، مع ظهور إصدارات إضافية حتى 29 أغسطس 2025، مما يشير إلى استمرار التطوير. يعتمد التوزيع على قوائم مزيفة في متجر Google Play تنتحل شخصية نسخة للبالغين من TikTok (TikTok 18+). تُثبّت هذه التطبيقات المُرسِلة حمولات خبيثة أثناء طلب الأذونات لتجاوز إجراءات حماية إمكانية الوصول من Google.

بعد التثبيت، يُحسّن RatOn صلاحياته بطلب حقوق إدارة الجهاز، وخدمات إمكانية الوصول، والوصول إلى جهات الاتصال وإعدادات النظام. ثم يقوم بجلب مكونات إضافية من البرامج الضارة، بما في ذلك برنامج NFSkate الخبيث الموثقة سابقًا، والذي يُعالج هجمات إعادة توجيه NFC.

إمكانيات متقدمة للاستحواذ على الحساب

يُظهر RatOn فهمًا عميقًا لأهدافه. بمجرد تفعيله، يُمكنه:

• قم بتشغيل تطبيقات العملات المشفرة وفتحها باستخدام أرقام التعريف الشخصية المسروقة.
• التفاعل مع إعدادات الأمان داخل التطبيق.
• استخراج عبارات الاسترداد السرية.

تُسجَّل هذه البيانات عبر مُسجِّل مفاتيح مُدمج، وتُرسَل إلى خوادم يُسيطر عليها المُهاجم، مما يُتيح التحكُّم الكامل في محافظ العملات الرقمية المُخترَقة. والجدير بالذكر أن قاعدة بيانات RatOn البرمجية لا تُظهر أي تداخل مع عائلات أخرى من برمجيات Android الخبيثة المصرفية، مما يُشير إلى أنها طُوِّرت من الصفر.

الأوامر والعمليات المدعومة

يدعم RatOn مجموعة واسعة من الأوامر التي تُمكّن المهاجمين من التلاعب بالأجهزة المصابة على نطاق واسع. من أبرزها:

• send_push – إرسال إشعارات دفع وهمية
• app_inject – تعديل قائمة التطبيقات المستهدفة
• نقل - تنفيذ عملية احتيال على ATS عبر جورج تشيسكو
• nfs – تنزيل وتشغيل برنامج NFSkate الخبيث
• screen_lock – تغيير مهلة قفل الجهاز
• قفل – قفل الجهاز عن بعد
• التسجيل/العرض – التحكم في جلسات بث الشاشة
• send_sms – إرسال رسائل نصية قصيرة عبر خدمات إمكانية الوصول
• add_contact – إنشاء جهات اتصال جديدة
• update_device – استخراج بصمات الجهاز وقوائم التطبيقات المثبتة

التركيز الإقليمي واستراتيجية الجهات الفاعلة في التهديد

يشير الباحثون إلى أن نشاط RatOn يتركز حاليًا في جمهورية التشيك، ومن المرجح أن تكون سلوفاكيا الهدف التالي. لا يزال قرار التركيز على تطبيق مصرفي إقليمي واحد غير واضح. ومع ذلك، تشير التحويلات الآلية التي تتطلب أرقام حسابات محلية إلى تعاون مع شبكات محلية لتهريب الأموال.