Эксперты обнаружили новое опасное вредоносное ПО для Android — RatOn. Этот троян быстро превратился из базового инструмента для атак через технологию ближней связи (NFC) в полноценное средство удалённого доступа с функциями автоматизированных транзакций (ATS). Об этом говорится в свежем отчёте голландской компании, специализирующейся на безопасности мобильных устройств.
RatOn представляет собой мультифункциональную платформу с возможностями, ранее характерными для отдельных классов вредоносных программ. В одном пакете объединены механизмы захвата учётных данных, ретрансляции NFC-команд, автоматической отправки денежных средств и подделки пользовательского интерфейса — всё это делает его особенно опасным для владельцев смартфонов, использующих мобильный банкинг и криптокошельки.
Эксперты по безопасности подчёркивают, что особую угрозу несут атаки с использованием технологии Ghost Tap — скрытой передачи команд на банкоматы через эмуляцию NFC. В результате взаимодействия между заражённым телефоном и банковским устройством становится возможным проведение переводов без ведома пользователя, даже если внешне телефон остаётся заблокированным.
RatOn также демонстрирует способность к автоматизации денежных переводов, в том числе через банковское приложение George Česko, популярное в Чехии. Отдельное внимание операторов вируса сосредоточено на приложениях криптовалютных кошельков, среди которых названы MetaMask, Trust, Phantom и Blockchain.com. Троян способен перехватывать доступ к этим сервисам, выводить активы и манипулировать интерфейсом для обхода защиты.
Наряду с финансовыми атаками зафиксированы и элементы, характерные для программ-вымогателей. RatOn использует фальшивые оверлейные страницы, маскирующиеся под сообщения с угрозами, блокирует доступ к системным функциям и может требовать выкуп за восстановление управления устройством.
Исследователи также отметили схожесть этих оверлеев с функциями, ранее замеченными у модификации Android-трояна HOOK.
Первый образец вредоносного ПО RatOn был обнаружен 5 июля 2025 года, а новые экземпляры зарегистрированы уже 29 августа, что указывает на активное развитие проекта. Программа распространялась через фальшивые страницы Play Store, где вредоносный дроппер маскировался под «TikTok 18+» — поддельную «взрослую» версию популярного видеосервиса.
После установки дроппер запрашивает у пользователя разрешение на инсталляцию приложений из сторонних источников, тем самым обходя стандартные меры Google по блокировке вредоносных сервисов. Следующий этап атаки — загрузка дополнительной нагрузки, которая требует доступ к функциям специальных возможностей Android, правам администратора, а также разрешениям на работу с контактами и системными параметрами. Это позволяет трояну беспрепятственно выполнять вредоносные действия, устанавливать новые модули и сохранять устойчивость даже после перезагрузки.
Один из компонентов третьего уровня в структуре атаки — модуль NFSkate, ранее описанный в ноябре 2024 года. Он отвечает за реализацию Ghost Tap-атак с использованием ретрансляции NFC. Такая техника может быть использована для имитации транзакций, оплаты или вывода средств через бесконтактные терминалы.