RatOn Android惡意軟體

一種名為RatOn的新型安卓惡意軟體已迅速從一個簡單的近場通訊（NFC）中繼工具演變為複雜的遠端存取木馬（RAT）。 RatOn憑藉其自動傳輸系統（ATS）功能、覆蓋攻擊模組以及類似勒索軟體的功能，正逐漸成為針對行動裝置最通用的威脅之一。

獨特的攻擊向量組合

RatOn 之所以脫穎而出，是因為它將多種惡意技術合併到一個框架中：

• 覆蓋攻擊以竊取憑證。
• 自動匯款 (ATS)耗盡銀行帳戶。
• 透過 Ghost Tap 技術實現NFC 中繼功能。

與典型的 Android 銀行木馬相比，這種組合使得 RatOn 非常危險。

目標：銀行和加密應用程式

該惡意軟體具有帳戶接管功能，專門針對 MetaMask、Trust、Blockchain.com 和 Phantom 等加密貨幣錢包應用程式。它還利用捷克共和國流行的銀行應用程式 George Česko 來自動進行欺詐性轉帳。

除了金融竊盜之外，RatOn 還可以鎖定設備並部署虛假的勒索螢幕。這些覆蓋層會模仿勒索訊息，指控受害者查看或傳播非法內容，並要求受害者在兩小時內支付 200 美元的加密貨幣。這種脅迫手段不僅會給用戶施加壓力，還會為攻擊者獲取 PIN 碼並直接入侵錢包應用程式創造機會。

積極發展和傳播策略

第一個 RatOn 樣本出現於 2025 年 7 月 5 日，其他版本最晚於 2025 年 8 月 29 日出現，顯示病毒仍在持續發展。病毒的傳播依賴於虛假的 Google Play 商店列表，這些列表冒充了 TikTok 的成人版本（TikTok 18+）。這些植入器應用程式會安裝惡意負載，同時要求權限以繞過 Google 的無障礙保護措施。

安裝後，RatOn 會要求裝置管理權限、輔助服務以及聯絡人和系統設定存取權限來提升權限。然後，它會取得其他惡意軟體元件，包括先前記錄的 NFSkate 惡意軟體（用於處理 NFC 中繼攻擊）。

進階帳戶接管功能

RatOn 對其目標有著深入的了解。一旦激活，它可以：

• 啟動加密貨幣應用程式並使用被盜的 PIN 碼解鎖。
• 與應用程式內安全設定進行互動。
• 提取秘密恢復短語。

這些資料透過內建鍵盤記錄器記錄下來，並發送到攻擊者控制的伺服器，從而完全控制被入侵的加密錢包。值得注意的是，RatOn 的程式碼庫與其他 Android 銀行惡意軟體家族沒有任何重疊，這表明它是從零開始開發的。

支援的命令和操作

RatOn 支援多種指令，讓攻擊者廣泛操縱受感染的裝置。其中最值得注意的是：

• send_push – 發送虛假推播通知
• app_inject – 修改目標應用程式列表
• 轉帳– 透過 George Česko 執行 ATS 詐欺
• nfs – 下載並執行 NFSkate 惡意軟體
• screen_lock – 修改裝置鎖定逾時
• 鎖定－遠端鎖定設備
• 記錄/顯示– 控制螢幕投射會話
• send_sms – 透過無障礙服務發送簡訊
• add_contact – 建立新聯絡人
• update_device – 竊取裝置指紋和已安裝的應用程式列表

區域重點與威脅行為者策略

研究人員指出，RatOn 活動目前集中在捷克共和國，斯洛伐克可能是下一個目標。目前尚不清楚該組織為何決定專注於單一區域銀行應用程式。然而，需要本地帳號的自動轉帳表明其與當地「錢騾」網路存在合作。