RatOn: Android trojanac nove generacije krade novac i kriptovalute i zaključava zaražene uređaje

Mobilni telefoni, 10.09.2025, 10:30 AM

Istraživači iz ThreatFabric-a upozoravaju na novi Android malver nazvan RatOn, koji je od jednostavnog alata za NFC relay napade evoluirao u sofisticirani RAT (remote access trojan) sa ATS (Automated Transfer System) mogućnostima. Ova kombinacija funkcionalnosti čini ga jednom od najopasnijih mobilnih pretnji u 2025. godini.

Šta RatOn čini tako opasnim?

RatOn spaja klasične overlay napade (lažne ekrane aplikacija), automatske transfere novca (ATS) i NFC relay funkcionalnost za beskontaktne prevare.

Malver može da kompromituje kripto novčanike kao što su MetaMask, Trust, Blockchain.com i Phantom, ali i da zloupotrebi George Česko, popularnu aplikaciju banke u Češkoj.

Pored navedenog, RatOn može da izvodi napade slične ransomware-u sa preklapajućim stranicama i da zaključava uređaje, tvrdeći da su telefoni korisnika zaključani zbog gledanja i distribucije dečje pornografije i da u roku od dva sata moraju da plate 200 dolara u kriptovaluti da bi ponovo dobili pristup. To treba da izazove lažni osećaj hitnosti i primora žrtvu da otvori aplikaciju za kriptovalute, odmah izvrši transakciju i omogući napadačima da u tom procesu uhvate PIN kod uređaja.

Prvi uzorak RatOn-a otkriven je 5. jula 2025, a novi uzorci nedavno, 29. avgusta, što ukazuje na aktivan razvoj malvera.

Malver je distribuiran putem lažnih stranica Play Store-a kao verzija aplikacije TikTok za odrasle (TikTok 18+).

Nakon instalacije dropper aplikacije, ona od korisnika traži dozvola za instalaciju aplikacija iz nepoznatih izvora, kako bi zaobišla Google-ove bezbednosne mere za sprečavanje zloupotrebe usluga pristupačnosti Androida.

Sledeća faza napada uključuje zahtev za administraciju uređaja i usluge pristupačnosti, pristup kontaktima i sistemskim podešavanjima.

Na kraju se preuzima i treća faza - NFSkate malver, poznat po NFC relay napadima koje izvodi koristeći tehniku Ghost Tap. NFSkate je otkriven u novembru prošle godine.

RatOn podržava širok spektar naredbi, uključujući:

» send_push - lažne push notifikacije,

» transfer - automatski transfer novca kroz aplikaciju George Česko,

» nfs - preuzimanje i pokretanje NFSkate APK-a,

» record/display - pokretanje i kontrola screen casting sesije,

» lock - zaključavanje uređaja,

» app_inject - izmena liste ciljanih aplikacija,

» add_contact - dodavanje kontakata,

» send_sms - slanje SMS poruka,

» Facebook/WhatsApp - pokretanje aplikacija Facebook i WhatsApp, i

» update_device - slanje liste instaliranih aplikacija sa otiskom prsta uređaja.

Za sada su mete prvenstveno korisnici u Češkoj, ali se očekuje širenje i na Slovačku. Fokus na jednu bankarsku aplikaciju ukazuje da napadači sarađuju sa lokalnim mulama preko kojih izvlače ukradena sredstva.