RatOn, новая разновидность вредоносного ПО для ОС Android, представляет собой значительную угрозу для пользователей банковских приложений и криптокошельков, особенно нацеленных на пользователей из Чехии. Впервые обнаруженный 5 июля 2025 года, RatOn отличился использованием сложных атак посредством NFC и автоматизированных систем перевода средств (ATS).
Особенности и распостранение RatOn
RatOn проникает на устройства через фишинг, маскируясь под легитимные банковские или защитные приложения. После установки вредонос использует NFC на смартфоне для передачи данных карт мошенникам в режиме реального времени, что позволяет осуществлять снятие средств в банкоматах или проводить мошеннические операции в точках продаж. Использование ATS позволяет автоматически переводить деньги с скомпрометированных счетов на счета, контролируемые злоумышленниками.
RatOn включил в себя функции более ранних троянов, таких как PhantomCard, но также добавил новые техники, в том числе имитацию экранов входа для кражи учетных данных. Вредоносное ПО может получить контроль на уровне root с помощью эксплойтов наподобие KernelSU, предоставляя доступ к системным настройкам, перехвату звонков для получения подтверждения и извлечения приватных ключей из криптокошельков.
Защита и рекомендации
В числе пострадавших банковских учреждений находится Česká spořitelna, среди прочих. Для защиты рекомендуется ограничить установку приложений из сторонних источников, использовать надежные антивирусные программы, контролировать настройки NFC и усиливать системы обнаружения аномалий и поведенческой биометрии для идентификации автоматизированных операций.
Потенциальная глобальная угроза
Регуляторы и компании в сфере безопасности подчеркивают важность усиления проверки приложений в магазинах, устранения уязвимостей наподобие KernelSU и кооперации между технологиями и службами безопасности. Аналитики предупреждают, что техники, использованные RatOn, могут получить глобальное распространение. Ожидается, что будущие версии этого вредоносного ПО будут использовать AI-технологии для более сложных атак, подчеркивая необходимость в проактивной разведке угроз и внимательности пользователей.
