09.09.2025
1 хв
495
Фахівці виявили новий Android-троян RatOn, який поєднує NFC-relay атаки, автоматизовані грошові перекази (ATS) та функції віддаленого доступу, перетворюючись на одну з найнебезпечніших мобільних загроз 2025 року.
За даними ThreatFabric, RatOn почав розповсюджуватися з 5 липня 2025 року через підроблені сторінки Google Play, які маскувалися під застосунок TikTok 18+. Троян поступово інсталює кілька стадій шкідливого коду: від дроппера до NFSkate-модуля, здатного виконувати Ghost Tap NFC-relay атаки.
Функціонал RatOn включає:
крадіжку даних криптогаманців (MetaMask, Trust, Blockchain.com, Phantom);
автоматизовані перекази через банківський застосунок George Česko;
ransomware-подібні оверлеї з блокуванням пристрою;
викрадення PIN-кодів і seed-фраз із подальшою крадіжкою активів;
командний набір для надсилання SMS, створення контактів, запуску WhatsApp і Facebook, скрінкасту та блокування екрана.
Жертвами стають переважно користувачі Чехії та Словаччини. Шкідливе ПЗ активно розвивається: останні зразки з’явилися наприкінці серпня 2025 року.
Експерти відзначають, що RatOn збудований з нуля і не має схожості з іншими банківськими троянами, хоча певні функції перекликаються з HOOK. Загроза підтверджує тенденцію останніх років: класичні банківські шкідники поєднуються з ransomware-механіками, а також орієнтуються на криптовалютні сервіси. Можлива співпраця операторів RatOn із місцевими «грошовими мулами» пояснює вузьке фокусування на регіональних банках.
RatOn демонструє, як швидко розвивається екосистема мобільних загроз. Поєднання атак на банки, криптогаманці й використання соціальної інженерії робить цей троян універсальною зброєю кіберзлочинців. Єдиний захист для користувачів — уникати сторонніх джерел додатків, відмовлятися від підозрілих дозволів і своєчасно оновлювати пристрої.
