RatOn Android恶意软件

一种名为RatOn的新型安卓恶意软件已迅速从一个简单的近场通信（NFC）中继工具演变为复杂的远程访问木马（RAT）。RatOn凭借其自动传输系统（ATS）功能、覆盖攻击模块以及类似勒索软件的功能，正逐渐成为针对移动设备的最通用威胁之一。

独特的攻击向量组合

RatOn 之所以脱颖而出，是因为它将多种恶意技术合并到一个框架中：

• 覆盖攻击以窃取凭证。
• 自动汇款 (ATS)耗尽银行账户。
• 通过 Ghost Tap 技术实现NFC 中继功能。

与典型的 Android 银行木马相比，这种组合使得 RatOn 非常危险。

目标：银行和加密应用程序

该恶意软件具有账户接管功能，专门针对 MetaMask、Trust、Blockchain.com 和 Phantom 等加密货币钱包应用。它还利用捷克共和国流行的银行应用程序 George Česko 来自动进行欺诈性转账。

除了金融盗窃之外，RatOn 还可以锁定设备并部署虚假的勒索屏幕。这些覆盖层会模仿勒索信息，指控受害者查看或传播非法内容，并要求受害者在两小时内支付 200 美元的加密货币。这种胁迫手段不仅会给用户施加压力，还会为攻击者获取 PIN 码并直接入侵钱包应用程序创造机会。

积极发展和传播策略

第一个 RatOn 样本出现于 2025 年 7 月 5 日，其他版本最晚于 2025 年 8 月 29 日出现，表明该病毒仍在持续发展。该病毒的传播依赖于虚假的 Google Play 商店列表，这些列表冒充了 TikTok 的成人版本（TikTok 18+）。这些植入程序应用会安装恶意负载，同时请求权限以绕过 Google 的无障碍保护措施。

安装后，RatOn 会请求设备管理权限、辅助服务以及联系人和系统设置访问权限来提升权限。然后，它会获取其他恶意软件组件，包括之前记录的 NFSkate 恶意软件（用于处理 NFC 中继攻击）。

高级账户接管功能

RatOn 对其目标有着深入的了解。一旦激活，它可以：

• 启动加密货币应用程序并使用被盗的 PIN 码解锁。
• 与应用内安全设置进行交互。
• 提取秘密恢复短语。

这些数据通过内置键盘记录器记录下来，并发送到攻击者控制的服务器，从而完全控制被入侵的加密钱包。值得注意的是，RatOn 的代码库与其他 Android 银行恶意软件家族没有任何重叠，这表明它是从零开始开发的。

支持的命令和操作

RatOn 支持多种命令，允许攻击者广泛操纵受感染的设备。其中最值得注意的是：

• send_push – 发送虚假推送通知
• app_inject – 修改目标应用程序列表
• 转账– 通过 George Česko 执行 ATS 欺诈
• nfs – 下载并运行 NFSkate 恶意软件
• screen_lock – 修改设备锁定超时
• 锁定——远程锁定设备
• 记录/显示– 控制屏幕投射会话
• send_sms – 通过无障碍服务发送短信
• add_contact – 创建新联系人
• update_device – 窃取设备指纹和已安装的应用程序列表

区域重点和威胁行为者战略

研究人员指出，RatOn 活动目前集中在捷克共和国，斯洛伐克可能是下一个目标。目前尚不清楚该组织为何决定专注于单一区域性银行应用程序。然而，需要本地账号的自动转账表明其与当地“钱骡”网络存在合作。