RatOn Android-skadevare

En ny Android-skadevare kalt RatOn har raskt utviklet seg fra et enkelt NFC-reléverktøy (Near Field Communication) til en sofistikert trojaner for fjerntilgang (RAT). Med sin ATS-funksjonalitet (Automated Transfer System), overlay-angrepsmoduler og ransomware-lignende funksjoner, fremstår RatOn som en av de mest allsidige truslene som retter seg mot mobile enheter.

En unik kombinasjon av angrepsvektorer

RatOn skiller seg ut fordi den slår sammen flere ondsinnede teknikker i ett rammeverk:

• Overleggsangrep for å stjele legitimasjon.
• Automatiske pengeoverføringer (ATS) for å tømme bankkontoer.
• NFC-reléfunksjoner via Ghost Tap-teknikken.

Denne kombinasjonen gjør RatOn svært farlig sammenlignet med typiske Android-banktrojanere.

Mål: Bank- og kryptoapper

Skadevaren er bygget med kontoovertakelsesfunksjoner som spesifikt retter seg mot kryptovaluta-lommebøker som MetaMask, Trust, Blockchain.com og Phantom. Den utnytter også George Česko, en bankapp som er populær i Tsjekkia, til å automatisere uredelige overføringer.

Utover økonomisk tyveri kan RatOn låse enheter og distribuere falske løsepengeskjermbilder. Disse overleggene etterligner utpressingsmeldinger, anklager ofre for å se eller distribuere ulovlig innhold, og krever en kryptovalutabetaling på 200 dollar innen to timer. Slike tvangstaktikker presser ikke bare brukere, men skaper også muligheter for angripere til å fange PIN-koder og kompromittere lommebokapper direkte.

Aktiv utvikling og spredningstaktikk

Det første RatOn-eksemplet dukket opp 5. juli 2025, med ytterligere versjoner observert så sent som 29. august 2025, noe som indikerer pågående utvikling. Distribusjonen er avhengig av falske Google Play Store-oppføringer som utgir seg for å være en voksenversjon av TikTok (TikTok 18+). Disse dropper-appene installerer skadelige nyttelaster samtidig som de ber om tillatelser til å omgå Googles tilgjengelighetsgarantier.

Etter installasjon eskalerer RatOn rettigheter ved å be om enhetsadministratorrettigheter, tilgjengelighetstjenester og tilgang til kontakter og systeminnstillinger. Deretter henter den ytterligere skadevarekomponenter, inkludert den tidligere dokumenterte NFSkate-skadevaren, som håndterer NFC-reléangrep.

Avanserte kontoovertakelsesmuligheter

RatOn demonstrerer en dyp forståelse av målene sine. Når den er aktiv, kan den:

• Start kryptovalutaapper og lås dem opp med stjålne PIN-koder.
• Samhandle med sikkerhetsinnstillinger i appen.
• Trekk ut hemmelige setninger for gjenoppretting.

Disse dataene logges via en innebygd keylogger og sendes til angriperkontrollerte servere, noe som gir full kontroll over kompromitterte kryptolommebøker. Det er verdt å merke seg at RatOns kodebase ikke viser noen overlapping med andre familier av skadelig programvare for Android-banktjenester, noe som tyder på at den ble utviklet fra bunnen av.

Støttede kommandoer og operasjoner

RatOn støtter et bredt spekter av kommandoer som lar angripere manipulere infiserte enheter i stor grad. Noen av de mest bemerkelsesverdige inkluderer:

• send_push – lever falske push-varsler
• app_inject – endre listen over målrettede apper
• overføring – utfør ATS-svindel via George Česko
• nfs – last ned og kjør NFSkate-skadevare
• screen_lock – endre tidsavbrudd for enhetslås
• lås – lås enheten eksternt
• ta opp/vis – kontroller skjermcastingøkter
• send_sms – send SMS-meldinger via tilgjengelighetstjenester
• legg til_kontakt – opprett nye kontakter
• oppdater_enhet – filtrerer fingeravtrykk fra enheter og lister over installerte apper

Regionalt fokus og strategi for trusselaktører

Forskere bemerker at RatOn-aktiviteten for tiden er konsentrert i Tsjekkia, med Slovakia som sannsynligvis det neste målet. Beslutningen om å fokusere på én regional bankapplikasjon er fortsatt uklar. Automatiske overføringer som krever lokale kontonumre tyder imidlertid på samarbeid med lokale pengemule-nettverk.