RatOn Android-skadlig programvara

En ny Android-skadlig kod som heter RatOn har snabbt utvecklats från ett enkelt NFC-reläverktyg (Near Field Communication) till en sofistikerad fjärråtkomsttrojan (RAT). Med sin ATS-funktionalitet (Automated Transfer System), overlay-attackmoduler och ransomware-liknande funktioner håller RatOn på att bli ett av de mest mångsidiga hoten mot mobila enheter.

En unik kombination av attackvektorer

RatOn utmärker sig genom att den sammanfogar flera skadliga tekniker i ett ramverk:

• Overlay-attacker för att stjäla inloggningsuppgifter.
• Automatiserade pengaöverföringar (ATS) för att tömma bankkonton.
• NFC-reläfunktioner via Ghost Tap-tekniken.

Denna kombination gör RatOn mycket farlig jämfört med typiska Android-banktrojaner.

Mål: Bank- och kryptoappar

Skadlig programvara är byggd med funktioner för kontoövertagande som specifikt riktar sig mot kryptovalutaplånboksappar som MetaMask, Trust, Blockchain.com och Phantom. Den utnyttjar också George Česko, en bankapp som är populär i Tjeckien, för att automatisera bedrägliga överföringar.

Utöver ekonomisk stöld kan RatOn låsa enheter och använda falska lösensummor. Dessa överlagringar härmar utpressningsmeddelanden, anklagar offer för att visa eller distribuera olagligt innehåll och kräver en kryptovalutabetalning på 200 dollar inom två timmar. Sådana tvångstaktik sätter inte bara press på användare utan skapar också möjligheter för angripare att stjäla PIN-koder och kompromettera plånboksappar direkt.

Aktiv utveckling och spridningstaktik

Det första RatOn-exemplet dök upp den 5 juli 2025, med ytterligare versioner observerades så sent som den 29 augusti 2025, vilket indikerar pågående utveckling. Distributionen bygger på falska listningar i Google Play Store som utger sig för att vara en vuxenversion av TikTok (TikTok 18+). Dessa appar installerar skadliga nyttolaster samtidigt som de begär behörighet att kringgå Googles tillgänglighetsskydd.

Efter installationen eskalerar RatOn behörigheter genom att begära enhetsadministrationsrättigheter, tillgänglighetstjänster och åtkomst till kontakter och systeminställningar. Den hämtar sedan ytterligare skadlig kod, inklusive den tidigare dokumenterade NFSkate-skadliga programvaran, som hanterar NFC-reläattacker.

Avancerade funktioner för kontoövertagande

RatOn visar en djup förståelse för sina mål. När den väl är aktiv kan den:

• Starta kryptovalutaappar och lås upp dem med stulna PIN-koder.
• Interagera med säkerhetsinställningar i appen.
• Utdrag hemliga återhämtningsfraser.

Denna data loggas via en inbyggd keylogger och skickas till angriparkontrollerade servrar, vilket ger full kontroll över komprometterade kryptoplånböcker. Det är värt att notera att RatOns kodbas inte visar någon överlappning med andra familjer av Android-bankprogram, vilket tyder på att den utvecklades från grunden.

Stödda kommandon och operationer

RatOn stöder en mängd olika kommandon som gör det möjligt för angripare att manipulera infekterade enheter i stor utsträckning. Några av de mest anmärkningsvärda inkluderar:

• send_push – leverera falska push-meddelanden
• app_inject – ändra listan över målappar
• överföring – verkställ ATS-bedrägeri via George Česko
• nfs – ladda ner och kör NFSkate-skadlig programvara
• screen_lock – ändra tidsgränsen för enhetens låsning
• lås – lås enheten på distans
• spela in/visa – styr skärmcastningssessioner
• send_sms – skicka SMS-meddelanden via tillgänglighetstjänster
• add_contact – skapa nya kontakter
• update_device – extraherar fingeravtryck från enheter och listor över installerade appar

Regionalt fokus och strategi för hotaktörer

Forskare noterar att RatOn-verksamheten för närvarande är koncentrerad till Tjeckien, med Slovakien sannolikt som nästa mål. Beslutet att fokusera på en enda regional bankapplikation är fortfarande oklart. Automatiserade överföringar som kräver lokala kontonummer tyder dock på samarbete med lokala money mule-nätverk.