RatOn 안드로이드 악성코드

RatOn이라는 새로운 안드로이드 악성코드는 단순한 근거리 무선 통신(NFC) 중계 도구에서 정교한 원격 접속 트로이 목마(RAT)로 빠르게 진화했습니다. 자동 전송 시스템(ATS), 오버레이 공격 모듈, 랜섬웨어 유사 기능을 갖춘 RatOn은 모바일 기기를 노리는 가장 다재다능한 위협 중 하나로 부상하고 있습니다.

공격 벡터의 독특한 조합

RatOn은 여러 악성 기술을 하나의 프레임워크로 통합한다는 점에서 두드러집니다.

• 자격 증명을 훔치기 위한 오버레이 공격 .
• 은행 계좌에서 돈이 빠져나가는 자동 자금 이체(ATS)
• Ghost Tap 기술을 통한 NFC 릴레이 기능 .

이러한 조합으로 인해 RatOn은 일반적인 안드로이드 뱅킹 트로이 목마에 비해 매우 위험해집니다.

대상: 뱅킹 및 암호화 앱

이 악성코드는 MetaMask, Trust, Blockchain.com, Phantom과 같은 암호화폐 지갑 앱을 특별히 노리는 계정 탈취 기능을 탑재하고 있습니다. 또한 체코에서 인기 있는 뱅킹 앱인 George Česko를 악용하여 사기성 이체를 자동화합니다.

RatOn은 금전적 절도 외에도 기기를 잠그고 가짜 랜섬웨어 화면을 띄울 수 있습니다. 이러한 오버레이는 협박 메시지를 모방하여 피해자가 불법 콘텐츠를 보거나 배포했다고 주장하고 2시간 내에 200달러의 암호화폐를 지불하도록 요구합니다. 이러한 강압적인 전술은 사용자에게 압력을 가할 뿐만 아니라 공격자가 PIN 코드를 획득하고 지갑 앱을 직접 해킹할 기회를 제공합니다.

적극적인 개발 및 확산 전략

첫 번째 RatOn 샘플은 2025년 7월 5일에 나타났으며, 추가 버전은 2025년 8월 29일까지 관찰되어 지속적인 개발이 진행 중임을 시사합니다. 배포는 성인용 TikTok(18세 이상 이용가) 버전을 사칭하는 가짜 Google Play 스토어 등록정보를 이용합니다. 이러한 드로퍼 앱은 Google의 접근성 보호 기능을 우회하기 위한 권한을 요청하면서 악성 페이로드를 설치합니다.

설치 후 RatOn은 기기 관리 권한, 접근성 서비스, 연락처 및 시스템 설정 접근 권한을 요청하여 권한을 상승시킵니다. 그런 다음 NFC 릴레이 공격을 처리하는 이전에 문서화된 NFSkate 맬웨어를 포함한 추가 맬웨어 구성 요소를 가져옵니다.

고급 계정 인수 기능

RatOn은 대상에 대한 깊은 이해를 보여줍니다. 활성화되면 다음과 같은 기능을 수행할 수 있습니다.

• 암호화폐 앱을 실행하고 도난당한 PIN을 사용하여 잠금을 해제합니다.
• 앱 내 보안 설정을 이용해 상호작용하세요.
• 비밀 복구 문구를 추출합니다.

이 데이터는 내장된 키로거를 통해 기록되고 공격자가 제어하는 서버로 전송되어 손상된 암호화폐 지갑을 완벽하게 제어할 수 있습니다. 특히 RatOn의 코드베이스는 다른 안드로이드 뱅킹 악성코드 계열과 중복되는 부분이 없어, 처음부터 개발되었음을 시사합니다.

지원되는 명령 및 작업

RatOn은 공격자가 감염된 기기를 광범위하게 조작할 수 있도록 하는 다양한 명령을 지원합니다. 가장 주목할 만한 명령은 다음과 같습니다.

• send_push – 가짜 푸시 알림 전송
• app_inject – 대상 앱 목록 수정
• 양도 – George czesko를 통해 ATS 사기를 실행합니다.
• nfs – NFSkate 맬웨어 다운로드 및 실행
• screen_lock – 장치 잠금 시간 초과 변경
• 잠금 – 장치를 원격으로 잠금
• 녹화/디스플레이 - 화면 캐스팅 세션 제어
• send_sms – 접근성 서비스를 통해 SMS 메시지 보내기
• add_contact – 새 연락처 만들기
• update_device – 장치 지문 및 설치된 앱 목록 추출

지역적 초점 및 위협 행위자 전략

연구원들은 RatOn 활동이 현재 체코에 집중되어 있으며, 슬로바키아가 다음 타깃이 될 가능성이 높다고 지적합니다. 단일 지역 은행 애플리케이션에 집중하기로 한 결정은 아직 불분명합니다. 그러나 현지 계좌번호가 필요한 자동 이체는 현지 자금 운반책 네트워크와의 공조를 시사합니다.