มัลแวร์ RatOn Android

มัลแวร์แอนดรอยด์ตัวใหม่ชื่อ RatOn ได้พัฒนาอย่างรวดเร็วจากเครื่องมือถ่ายทอดสัญญาณ Near Field Communication (NFC) ธรรมดาๆ ไปสู่โทรจันการเข้าถึงระยะไกล (RAT) ที่ซับซ้อน ด้วยฟังก์ชัน Automated Transfer System (ATS) โมดูลโจมตีแบบโอเวอร์เลย์ และฟีเจอร์คล้ายแรนซัมแวร์ RatOn จึงกลายเป็นหนึ่งในภัยคุกคามที่โจมตีอุปกรณ์พกพาได้หลากหลายที่สุด

การผสมผสานที่เป็นเอกลักษณ์ของเวกเตอร์การโจมตี

RatOn โดดเด่นเพราะรวมเทคนิคที่เป็นอันตรายหลายอย่างเข้าไว้ในกรอบงานเดียว:

• การโจมตีแบบซ้อนทับ เพื่อขโมยข้อมูลประจำตัว
• การโอนเงินอัตโนมัติ (ATS) เพื่อถอนเงินจากบัญชีธนาคาร
• ความสามารถในการถ่ายทอด NFC ผ่านเทคนิค Ghost Tap

การรวมกันนี้ทำให้ RatOn เป็นอันตรายอย่างยิ่งเมื่อเทียบกับโทรจันธนาคาร Android ทั่วไป

เป้าหมาย: แอปธนาคารและคริปโต

มัลแวร์นี้สร้างขึ้นด้วยฟังก์ชันควบคุมบัญชี ซึ่งมีเป้าหมายเฉพาะแอปกระเป๋าเงินคริปโทเคอร์เรนซี เช่น MetaMask, Trust, Blockchain.com และ Phantom นอกจากนี้ยังใช้ประโยชน์จาก George Česko ซึ่งเป็นแอปธนาคารที่ได้รับความนิยมในสาธารณรัฐเช็ก เพื่อทำการโอนเงินฉ้อโกงโดยอัตโนมัติ

นอกเหนือจากการโจรกรรมทางการเงินแล้ว RatOn ยังสามารถล็อกอุปกรณ์และปล่อยหน้าจอเรียกค่าไถ่ปลอมได้ โอเวอร์เลย์เหล่านี้เลียนแบบข้อความขู่กรรโชก กล่าวหาว่าเหยื่อดูหรือเผยแพร่เนื้อหาผิดกฎหมาย และเรียกร้องเงินคริปโตเคอร์เรนซีมูลค่า 200 ดอลลาร์สหรัฐฯ ภายในสองชั่วโมง กลยุทธ์การบังคับขู่เข็ญเช่นนี้ไม่เพียงแต่กดดันผู้ใช้เท่านั้น แต่ยังเปิดโอกาสให้ผู้โจมตีเข้าถึงรหัส PIN และเจาะระบบแอปกระเป๋าเงินได้โดยตรงอีกด้วย

การพัฒนาเชิงรุกและกลยุทธ์การเผยแพร่

ตัวอย่างแรกของ RatOn ปรากฏเมื่อวันที่ 5 กรกฎาคม 2025 และพบเวอร์ชันเพิ่มเติมเมื่อวันที่ 29 สิงหาคม 2025 ซึ่งบ่งชี้ถึงการพัฒนาอย่างต่อเนื่อง การเผยแพร่อาศัยรายการแอปปลอมบน Google Play Store ที่ปลอมแปลงเป็น TikTok เวอร์ชันสำหรับผู้ใหญ่ (TikTok 18+) แอปดรอปเปอร์เหล่านี้จะติดตั้งเพย์โหลดที่เป็นอันตรายพร้อมกับขออนุญาตเพื่อหลีกเลี่ยงมาตรการป้องกันการเข้าถึงของ Google

หลังการติดตั้ง RatOn จะเพิ่มระดับสิทธิ์โดยการร้องขอสิทธิ์การดูแลระบบอุปกรณ์ บริการการเข้าถึง และการเข้าถึงรายชื่อติดต่อและการตั้งค่าระบบ จากนั้นจะดึงส่วนประกอบมัลแวร์เพิ่มเติม รวมถึงมัลแวร์ NFSkate ที่เคยบันทึกไว้ก่อนหน้านี้ ซึ่งจัดการการโจมตีแบบ NFC relay

ความสามารถในการเข้าควบคุมบัญชีขั้นสูง

RatOn แสดงให้เห็นถึงความเข้าใจอย่างลึกซึ้งเกี่ยวกับเป้าหมาย เมื่อเปิดใช้งานแล้ว มันสามารถ:

• เปิดแอปสกุลเงินดิจิทัลและปลดล็อคโดยใช้ PIN ที่ถูกขโมยมา
• โต้ตอบกับการตั้งค่าความปลอดภัยในแอป
• สกัดวลีการกู้คืนความลับ

ข้อมูลนี้จะถูกบันทึกผ่านคีย์ล็อกเกอร์ในตัวและส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทำให้สามารถควบคุมกระเป๋าเงินคริปโตที่ถูกบุกรุกได้อย่างสมบูรณ์ ที่น่าสังเกตคือ ฐานโค้ดของ RatOn ไม่มีการทับซ้อนกับมัลแวร์ธนาคาร Android ตระกูลอื่นๆ ซึ่งบ่งชี้ว่าถูกพัฒนาขึ้นมาใหม่ทั้งหมด

คำสั่งและการดำเนินการที่รองรับ

RatOn รองรับคำสั่งมากมายที่ช่วยให้ผู้โจมตีสามารถจัดการอุปกรณ์ที่ติดไวรัสได้อย่างกว้างขวาง คำสั่งที่โดดเด่นที่สุด ได้แก่:

• send_push – ส่งการแจ้งเตือนแบบพุชปลอม
• app_inject – แก้ไขรายการแอปเป้าหมาย
• โอน - ดำเนินการฉ้อโกง ATS ผ่าน George Šesko
• nfs – ดาวน์โหลดและรันมัลแวร์ NFSkate
• screen_lock – เปลี่ยนการหมดเวลาการล็อกอุปกรณ์
• ล็อค – ล็อคอุปกรณ์จากระยะไกล
• บันทึก/แสดง – ควบคุมเซสชันการแคสต์หน้าจอ
• send_sms – ส่งข้อความ SMS ผ่านบริการการเข้าถึง
• add_contact – สร้างรายชื่อผู้ติดต่อใหม่
• update_device – ขโมยลายนิ้วมืออุปกรณ์และรายการแอปที่ติดตั้ง

การมุ่งเน้นระดับภูมิภาคและกลยุทธ์ผู้ก่อภัยคุกคาม

นักวิจัยตั้งข้อสังเกตว่าปัจจุบันกิจกรรมของ RatOn กระจุกตัวอยู่ในสาธารณรัฐเช็ก โดยสโลวาเกียน่าจะเป็นเป้าหมายต่อไป การตัดสินใจที่จะมุ่งเน้นไปที่แอปพลิเคชันธนาคารระดับภูมิภาคเพียงแห่งเดียวยังคงไม่ชัดเจน อย่างไรก็ตาม การโอนเงินอัตโนมัติที่ต้องใช้หมายเลขบัญชีท้องถิ่น แสดงให้เห็นถึงความร่วมมือกับเครือข่าย Money Mule ในท้องถิ่น