Cyberprzestępcy coraz śmielej łączą różne techniki ataku. Zaczyna się od prostych nadużyć NFC do zaawansowanych złośliwych narzędzi, które potrafią przejąć konrolę nad urządzeniem i wykonywać transakcje. Przykładem takiego oprogramowania jest RatOn – świeżo odkryty trojan. Przyjrzyjmy mu się bliżej.
RatOn integruje klasyczne ataki typu overlay (nakładki) z mechanizmami „Automated Transfer System” (ATS) oraz funkcjami zdalnego sterowania. W praktyce oznacza to, że po infekcji może nie tylko podszyć się pod interfejs banku lub portfela kryptowalutowego, ale również automatycznie dokonywać przelewów. Zgodnie z telemetrią, pierwsza powiązana próbka RatOn została złożona 5 lipca 2025 roku, a najnowsza 29 sierpnia 2025 roku, co oznacza, że grupa koncentruje się na rozwoju nowego złośliwego oprogramowania od co najmniej dwóch miesięcy. Analitycy uważają, że trojan RatOn został napisany od zera, ponieważ nie znaleziono podobieństw kodu do istniejących rodzin złośliwego oprogramowania.
Jak wygląda atak?
Atakujący rejestrowali domeny tematyczne np. związane z erotyką. Te domeny zawierały TikTok18+ w swojej nazwie i hostowały złośliwą aplikację.
Używane domeny:
- marvelcore[.]top
- evillab[.]world
- www-core[.]top
- tiktok18[.]world
- evillab[.]world
Aplikacja udaje instalator oprogramowania. RatOn otwiera widok WebView z funkcją installApk, która instaluje plik APK po kliknięciu przycisku przez użytkownika.
Następnie uruchamia instalację kolejnych komponentów, prosi o uprawnienia (Accessibility, Device Admin itp.). Dzięki Accessibility malware może „symulować” kliknięcia, odczytywać stan ekranu, wprowadzać PIN-y.
Następnie trojan automatycznie akceptuje uprawnienia do odczytu/zapisu kontaktów i zarządzania ustawieniami systemowymi, wykorzystując uzyskany wcześniej dostęp do funkcji ułatwień dostępu.
Automatyczne przelewy pieniężne
RatOn umożliwia automatyczne przelewy pieniężne (ATS) przy użyciu interfejsu API usług dostępności. Badacze zidentyfikowali tylko jedną instytucję finansową: bank w Czechach. Aktorzy zagrożeń wykazali się głębokim zrozumieniem, w jaki sposób aplikacja finansowa została zaprojektowana z graficznego punktu widzenia.
Po komendzie „transfer” malware uruchamia aplikację bankową, symuluje kolejne kroki przepływu, wprowadza PIN-y, dopasowuje limity i realizuje przelew. Wszystko dzieje się automatycznie. RatOn pomaga atakującym w przeprowadzaniu ataków polegających na przejmowaniu kont w portfelach kryptowalut:
- MetaMask (io.metamask)
- Trust (com.wallet.crypto.trustapp)
- com (piuk.blockchain.android)
- Phantom (app.phantom)
W jednym z ostatnich kroków trojan automatycznie wpisze cyfrowy kod PIN, aby potwierdzić transakcję. Taki kod PIN ma zostać przechwycony na wcześniejszych etapach oszustwa.
Malware obsługuje szeroki wachlarz komend (wyświetlanie powiadomień, blokowanie ekranu, zmiana ustawień systemu itp.).
RatOn zapewnia już wystarczającą funkcjonalność do przeprowadzania różnych form oszustw mobilnych, a także ataków ransomware. Jednak dodanie funkcji oprogramowania ransomware wydaje się nieco zbędne, biorąc pod uwagę obecność możliwości automatycznego transferu. Analiza sugeruje, że grupa podmiotów stanowiących zagrożenie początkowo obrała za cel Republikę Czeską, a kolejnym krajem, na którym się skupiono, prawdopodobnie była Słowacja.
Wnioski i rekomendacje dla użytkowników / organizacji
Chociaż nie ma obecnie potwierdzonych ataków RatOn w Polsce (lub przynajmniej nie ujawniono ich publicznie), kierunek, w jakim ten malware idzie, zasługuje na naszą uwagę. Oto co warto rozważyć:
- Ograniczenie instalacji z nieznanych źródeł
Użytkownicy powinni być bardzo ostrożni przy instalacji aplikacji spoza zaufanych sklepów. W miarę możliwości należy wyłączyć w ustawieniach Androida opcję instalacji z nieznanych źródeł. W firmie używaj MDM do zarządzania urządzeniami mobilnymi. - Świadomość przy przyznawaniu uprawnień Accessibility / Device Admin
To właśnie dzięki nim złośliwe oprogramowanie może kontrolować interakcje użytkownika. Organizacje mobilne powinny stosować polityki ograniczające możliwość takich uprawnień dla aplikacji firmowych. - Monitoring i wykrywanie anomalii
Systemy bezpieczeństwa mobilnego powinny śledzić nietypowe zachowania aplikacji (np. próby ukrywania UI, symulacje kliknięć, uruchamianie procesów poza interaktywnością użytkownika). Warto uwzględniać IoCs (indikatory kompromitacji), jakie opublikował ThreatFabric np. domeny czy hashe plików. - Edukacja użytkowników końcowych
Nawet najlepsze technologie potrafią zostać przełamane przez niewiedzę / nieuwagę użytkownika. Regularne szkolenia i komunikaty informacyjne są kluczowe.
Pełna analiza znajduje się poniżej:
https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats
