Malware RatOn pro Android

Nový malware pro Android s názvem RatOn se rychle vyvinul z jednoduchého nástroje pro přenos dat pomocí technologie Near Field Communication (NFC) v sofistikovaného trojského koně pro vzdálený přístup (RAT). Díky funkci automatizovaného přenosového systému (ATS), modulům pro překryvné útoky a funkcím podobným ransomwaru se RatOn stává jednou z nejvšestrannějších hrozeb zaměřených na mobilní zařízení.

Unikátní kombinace útočných vektorů

RatOn vyniká tím, že slučuje několik škodlivých technik do jednoho frameworku:

• Překryvné útoky za účelem krádeže přihlašovacích údajů.
• Automatizované převody peněz (ATS) pro vyčerpání bankovních účtů.
• Možnosti přenosu NFC prostřednictvím techniky Ghost Tap.

Tato kombinace činí RatOn vysoce nebezpečným ve srovnání s typickými bankovními trojskými koni pro Android.

Cíle: Bankovní a kryptoměnové aplikace

Malware je vybaven funkcemi pro převzetí kontroly nad účty, které cílí konkrétně na aplikace s kryptoměnovými peněženkami, jako jsou MetaMask, Trust, Blockchain.com a Phantom. Zneužívá také bankovní aplikaci George Česko, populární v České republice, k automatizaci podvodných převodů.

Kromě finančních krádeží dokáže RatOn zamykat zařízení a nasadit falešné obrazovky s výzvou k vymáhání výkupného. Tyto překryvné vrstvy napodobují vydírací zprávy, obviňují oběti ze sledování nebo distribuce nelegálního obsahu a požadují platbu kryptoměnou ve výši 200 dolarů do dvou hodin. Takové nátlakové taktiky nejen vyvíjejí tlak na uživatele, ale také vytvářejí útočníkům příležitosti k získání PIN kódů a přímému napadení aplikací peněženek.

Taktiky aktivního rozvoje a šíření

První vzorek RatOn se objevil 5. července 2025 a další verze byly pozorovány až 29. srpna 2025, což naznačuje probíhající vývoj. Distribuce se spoléhá na falešné záznamy v Obchodě Google Play, které se vydávají za verzi TikTok pro dospělé (TikTok 18+). Tyto aplikace instalují škodlivé datové soubory a zároveň vyžadují oprávnění k obcházení ochranných opatření přístupnosti od Googlu.

Po instalaci RatOn zvyšuje oprávnění tím, že vyžaduje práva pro správu zařízení, služby přístupnosti a přístup ke kontaktům a systémovým nastavením. Poté načítá další komponenty malwaru, včetně dříve zdokumentovaného malwaru NFSkate, který se stará o útoky NFC relay.

Pokročilé možnosti převzetí účtu

RatOn prokazuje hluboké pochopení svých cílů. Jakmile je aktivní, dokáže:

• Spouštějte kryptoměnové aplikace a odemykejte je pomocí ukradených PINů.
• Interakce s nastavením zabezpečení v aplikaci.
• Extrahujte tajné fráze pro zotavení.

Tato data jsou zaznamenávána pomocí vestavěného keyloggeru a odesílána na servery ovládané útočníkem, což umožňuje plnou kontrolu nad napadenými krypto peněženkami. Je pozoruhodné, že kódová základna RatOn se nepřekrývá s jinými rodinami malwaru pro bankovnictví v systému Android, což naznačuje, že byl vyvinut od nuly.

Podporované příkazy a operace

RatOn podporuje širokou škálu příkazů, které útočníkům umožňují rozsáhle manipulovat s infikovanými zařízeními. Mezi nejvýznamnější patří:

• send_push – doručování falešných push notifikací
• app_inject – úprava seznamu cílových aplikací
• převod – provést ATS podvod přes George Česko
• nfs – stažení a spuštění malwaru NFSkate
• screen_lock – změnit časový limit uzamčení zařízení
• zamknout – vzdálené zamknutí zařízení
• nahrávání/zobrazení – ovládání relací odesílání obrazovky
• send_sms – odesílání SMS zpráv prostřednictvím služeb přístupnosti
• add_contact – vytvořit nové kontakty
• update_device – získá otisky prstů zařízení a seznamy nainstalovaných aplikací

Regionální zaměření a strategie aktérů hrozeb

Výzkumníci poznamenávají, že aktivity RatOn se v současné době soustředí v České republice a Slovensko se pravděpodobně stane dalším cílem. Rozhodnutí zaměřit se na jednu regionální bankovní aplikaci zůstává nejasné. Automatizované převody vyžadující místní čísla účtů však naznačují spolupráci s místními sítěmi peněžních mul.