RatOn Android-malware

En ny Android-malware kaldet RatOn har hurtigt udviklet sig fra et simpelt Near Field Communication (NFC) relæværktøj til en sofistikeret fjernadgangstrojan (RAT). Med sin Automated Transfer System (ATS) funktionalitet, overlay-angrebsmoduler og ransomware-lignende funktioner er RatOn ved at blive en af de mest alsidige trusler, der er rettet mod mobile enheder.

En unik kombination af angrebsvektorer

RatOn skiller sig ud, fordi det kombinerer flere ondsindede teknikker i ét framework:

• Overlay-angreb for at stjæle legitimationsoplysninger.
• Automatiske pengeoverførsler (ATS) til at dræne bankkonti.
• NFC-relæfunktioner via Ghost Tap-teknikken.

Denne kombination gør RatOn yderst farlig sammenlignet med typiske Android-banktrojanere.

Mål: Bank- og kryptoapps

Malwaren er bygget med kontoovertagelsesfunktioner, der specifikt er rettet mod kryptovaluta-tegnebogsapps som MetaMask, Trust, Blockchain.com og Phantom. Den udnytter også George Česko, en bankapp, der er populær i Tjekkiet, til at automatisere svigagtige overførsler.

Ud over økonomisk tyveri kan RatOn låse enheder og implementere falske løsesumsskærme. Disse overlays efterligner afpresningsbeskeder, beskylder ofre for at se eller distribuere ulovligt indhold og kræver en kryptovalutabetaling på 200 dollars inden for to timer. Sådanne tvangstaktikker presser ikke kun brugerne, men skaber også muligheder for angribere til at fange pinkoder og kompromittere wallet-apps direkte.

Aktiv udvikling og spredningstaktik

Det første RatOn-eksempel dukkede op den 5. juli 2025, med yderligere versioner observeret helt frem til den 29. august 2025, hvilket indikerer løbende udvikling. Distributionen er baseret på falske Google Play Store-lister, der udgiver sig for at være en voksenversion af TikTok (TikTok 18+). Disse dropper-apps installerer ondsindede data, mens de anmoder om tilladelser til at omgå Googles tilgængelighedsbeskyttelser.

Efter installationen eskalerer RatOn privilegier ved at anmode om enhedsadministrationsrettigheder, tilgængelighedstjenester og adgang til kontakter og systemindstillinger. Derefter henter den yderligere malwarekomponenter, herunder den tidligere dokumenterede NFSkate-malware, der håndterer NFC-relæangreb.

Avancerede kontoovertagelsesfunktioner

RatOn demonstrerer en dyb forståelse af sine mål. Når den er aktiv, kan den:

• Start kryptovaluta-apps og lås dem op med stjålne pinkoder.
• Interager med sikkerhedsindstillinger i appen.
• Uddrag hemmelige sætninger om genopretning.

Disse data logges via en indbygget keylogger og sendes til angriberkontrollerede servere, hvilket giver fuld kontrol over kompromitterede krypto-wallets. Bemærkelsesværdigt viser RatOns kodebase ingen overlapning med andre Android-bankmalwarefamilier, hvilket tyder på, at den blev udviklet fra bunden.

Understøttede kommandoer og operationer

RatOn understøtter en bred vifte af kommandoer, der giver angribere mulighed for at manipulere inficerede enheder i vid udstrækning. Nogle af de mest bemærkelsesværdige inkluderer:

• send_push – leverer falske push-notifikationer
• app_inject – rediger listen over målrettede apps
• overførsel – eksekver ATS-svindel via George Česko
• nfs – download og kør NFSkate-malware
• screen_lock – ændr timeout for enhedslåse
• lås – lås enheden eksternt
• optag/vis – styr skærmcastingsessioner
• send_sms – send SMS-beskeder via tilgængelighedstjenester
• tilføj_kontakt – opret nye kontakter
• update_device – udvinder enhedsfingeraftryk og lister over installerede apps

Regionalt fokus og strategi for trusselsaktører

Forskere bemærker, at RatOn-aktiviteten i øjeblikket er koncentreret i Tjekkiet, hvor Slovakiet sandsynligvis vil være det næste mål. Beslutningen om at fokusere på en enkelt regional bankapplikation er fortsat uklar. Automatiserede overførsler, der kræver lokale kontonumre, tyder dog på samarbejde med lokale pengemaskinenetværk.