Новый троян удаленного доступа (RAT) для Android под названием RatOn представляет собой уникальную угрозу, объединяя три мощных вектора атак: традиционные атаки с использованием наложений, ретрансляционные NFC-атаки и продвинутую систему автоматизированных переводов (ATS). По данным голландской компании по кибербезопасности ThreatFabric, вредоносное ПО написано с нуля и не имеет общих черт с известными банковскими троянами для Android, что свидетельствует о его высокой технологической проработке.
Хронология появления угрозы указывает на ее активное развитие. Семейство вредоносных программ NFSkate, используемое RatOn в качестве одного из компонентов, было впервые задокументировано в ноябре 2024 года. Первый образец самого RatOn был обнаружен 5 июля 2025 года, а новые артефакты, найденные 29 августа 2025 года, подтверждают, что злоумышленники продолжают совершенствовать свой инструмент.
Распространение вредоноса происходит через поддельные страницы, имитирующие магазин приложений Play Store. Злоумышленники маскируют программу-загрузчик под приложение "TikTok 18+", ориентируясь на чешских и словацких пользователей. На первом этапе жертве предлагается разрешить установку приложений из сторонних источников, что является ключевым шагом для обхода защитных механизмов Google, ограничивающих злоупотребление службами специальных возможностей Android.
После первоначальной установки троян запрашивает критически важные разрешения, включая доступ к администрированию устройства и службам специальных возможностей, а также права на чтение и запись контактов и управление системными настройками. Получив эти права, RatOn загружает и устанавливает вредоносное ПО третьего этапа под названием NFSkate, предназначенное для выполнения ретрансляционных NFC-атак с использованием техники, известной как "Ghost Tap".
Основная финансовая угроза исходит от модуля системы автоматизированных переводов (ATS). На данный момент троян нацелен на банковское приложение George Česko, используемое в Чешской Республике. Такая узкая направленность позволяет предположить, что операторы RatOn сотрудничают с местными денежными мулами, имеющими счета в данном банке, для вывода похищенных средств.
RatOn также обладает функционалом для кражи криптовалюты из кошельков М⃰Mask, Trust, и Phantom. С помощью кейлоггера он перехватывает PIN-код устройства, после чего программно запускает целевое приложение-кошелек и разблокирует его. Затем троян автоматически переходит в настройки безопасности, отображает секретную фразу восстановления (seed phrase) и отправляет ее на удаленный сервер, предоставляя злоумышленникам полный контроль над активами жертвы.
В арсенале RatOn присутствует и тактика психологического давления, схожая с программами-вымогателями. Троян блокирует устройство, выводя на экран фальшивое уведомление о том, что телефон заблокирован за просмотр и распространение детской порнографии. Злоумышленники требуют выкуп в размере $200 в криптовалюте в течение двух часов. Основная цель этого маневра — заставить жертву в панике открыть криптовалютное приложение для оплаты, что позволяет трояну перехватить PIN-код для последующей кражи активов. Подобная тактика ранее наблюдалась у Android-трояна HOOK.
Глубокий анализ показывает, что создатели RatOn досконально изучили внутреннюю структуру целевых приложений. Троян способен выполнять широкий спектр команд удаленно: отправлять поддельные push-уведомления (
Изображение носит иллюстративный характер
Хронология появления угрозы указывает на ее активное развитие. Семейство вредоносных программ NFSkate, используемое RatOn в качестве одного из компонентов, было впервые задокументировано в ноябре 2024 года. Первый образец самого RatOn был обнаружен 5 июля 2025 года, а новые артефакты, найденные 29 августа 2025 года, подтверждают, что злоумышленники продолжают совершенствовать свой инструмент.
Распространение вредоноса происходит через поддельные страницы, имитирующие магазин приложений Play Store. Злоумышленники маскируют программу-загрузчик под приложение "TikTok 18+", ориентируясь на чешских и словацких пользователей. На первом этапе жертве предлагается разрешить установку приложений из сторонних источников, что является ключевым шагом для обхода защитных механизмов Google, ограничивающих злоупотребление службами специальных возможностей Android.
После первоначальной установки троян запрашивает критически важные разрешения, включая доступ к администрированию устройства и службам специальных возможностей, а также права на чтение и запись контактов и управление системными настройками. Получив эти права, RatOn загружает и устанавливает вредоносное ПО третьего этапа под названием NFSkate, предназначенное для выполнения ретрансляционных NFC-атак с использованием техники, известной как "Ghost Tap".
Основная финансовая угроза исходит от модуля системы автоматизированных переводов (ATS). На данный момент троян нацелен на банковское приложение George Česko, используемое в Чешской Республике. Такая узкая направленность позволяет предположить, что операторы RatOn сотрудничают с местными денежными мулами, имеющими счета в данном банке, для вывода похищенных средств.
RatOn также обладает функционалом для кражи криптовалюты из кошельков М⃰Mask, Trust, и Phantom. С помощью кейлоггера он перехватывает PIN-код устройства, после чего программно запускает целевое приложение-кошелек и разблокирует его. Затем троян автоматически переходит в настройки безопасности, отображает секретную фразу восстановления (seed phrase) и отправляет ее на удаленный сервер, предоставляя злоумышленникам полный контроль над активами жертвы.
В арсенале RatOn присутствует и тактика психологического давления, схожая с программами-вымогателями. Троян блокирует устройство, выводя на экран фальшивое уведомление о том, что телефон заблокирован за просмотр и распространение детской порнографии. Злоумышленники требуют выкуп в размере $200 в криптовалюте в течение двух часов. Основная цель этого маневра — заставить жертву в панике открыть криптовалютное приложение для оплаты, что позволяет трояну перехватить PIN-код для последующей кражи активов. Подобная тактика ранее наблюдалась у Android-трояна HOOK.
Глубокий анализ показывает, что создатели RatOn досконально изучили внутреннюю структуру целевых приложений. Троян способен выполнять широкий спектр команд удаленно: отправлять поддельные push-уведомления (
send_push), записывать экран (record), отправлять SMS-сообщения (send_sms), изменять список целевых финансовых приложений (app_inject), блокировать устройство (lock) и выполнять автоматизированные переводы через приложение George Česko (transfer).
