RatOn Android 恶意软件检测到 NFC 中继和 ATS 银行欺诈功能

一种名为 RatOn 的新型 Android 恶意软件已从一种能够进行近场通信 （NFC） 中继攻击的基本工具发展成为一种具有自动传输系统 （ATS） 功能的复杂远程访问木马，以进行设备欺诈。

这家荷兰移动安全公司在今天发布的一份报告中表示：“RatOn 将传统的覆盖攻击与自动汇款和 NFC 中继功能相结合，使其成为一种独特的强大威胁。

该银行木马配备了针对 MetaMask、Trust、Blockchain.com 和 Phantom 等加密货币钱包应用程序的账户接管功能，同时还能够滥用捷克共和国使用的银行应用程序 George Česko 进行自动汇款。

此外，它还可以使用自定义覆盖页面和设备锁定执行类似勒索软件的攻击。值得注意的是，还观察到 HOOK Android 木马的一个变体包含勒索软件式的覆盖屏幕来显示勒索消息。

2025 年 7 月 5 日在野外发现了第一个分发 RatOn 的样本，最近在 2025 年 8 月 29 日发现了更多文物，表明运营商正在积极进行开发工作。

RatOn 利用伪装成成人友好版 TikTok （TikTok 18+） 的虚假 Play 商店列表页面来托管传播木马的恶意植入器应用程序。目前尚不清楚用户是如何被吸引到这些网站的，但该活动已经挑出了讲捷克语和斯洛伐克语的用户。

安装 dropper 应用程序后，它会请求用户允许安装来自第三方来源的应用程序，以绕过 Google 为防止滥用 Android 辅助功能服务而实施的关键安全措施。

然后，第二阶段有效负载继续请求设备管理和辅助功能服务，以及读取/写入联系人和管理系统设置的权限，以实现其恶意功能。

这包括根据需要授予自己额外的权限和下载第三阶段恶意软件，这只不过是 NFSkate 恶意软件，可以使用一种称为 Ghost Tap 的技术执行 NFC 中继攻击。该恶意软件家族于 2024 年 11 月首次记录。

“帐户接管和自动转移功能表明，威胁行为者非常了解目标应用程序的内部结构，”ThreatFabric 说，并将该恶意软件描述为从头开始构建的，并且与其他 Android 银行恶意软件共享无代码相似之处。

这还不是全部。RatOn 还可以提供类似于勒索字条的叠加屏幕，声称用户的手机已被锁定以查看和分发儿童色情内容，并且他们需要支付 200 美元的加密货币才能在两小时内重新获得访问权限。

据怀疑，赎金票据旨在引起一种虚假的紧迫感，并强迫受害者打开加密货币应用程序，立即进行交易，并使攻击者能够在此过程中捕获设备 PIN 码。

“根据相应的命令，RatOn 可以启动目标加密货币钱包应用程序，使用被盗的 PIN 码解锁它，单击与应用程序安全设置相关的界面元素，并在最后一步显示秘密短语，”ThreatFabric 说，详细介绍了其帐户接管功能。

敏感数据随后由键盘记录器组件记录并泄露到威胁行为者控制下的外部服务器，然后威胁行为者可以使用助记词未经授权访问受害者的帐户并窃取加密货币资产。

下面列出了 RatOn 处理的一些值得注意的命令 –

• send_push，发送虚假推送通知
• screen_lock，将设备锁屏超时更改为指定值
• WhatsApp，启动 WhatsApp
• app_inject，更改目标金融应用程序列表
• update_device，发送带有设备指纹的已安装应用程序列表
• send_sms，使用辅助功能服务发送短信
• Facebook，启动 Facebook
• nfs，以下载并运行 NFSkate APK 恶意软件
• 转移，使用 George Česko 执行 ATS
• lock，使用设备管理访问权限锁定设备
• add_contact，使用指定的姓名和电话号码创建新联系人
• 录制，以启动屏幕投射会话
• 显示，打开/关闭屏幕投射

“威胁行为者组织最初以捷克共和国为目标，斯洛伐克可能是下一个关注的国家，”ThreatFabric 说。“专注于单一银行应用程序的原因仍不清楚。然而，自动转账需要本地银行帐号这一事实表明，威胁行为者可能正在与当地的钱骡合作。