2025年9月9日Ravie Lakshmananモバイルセキュリティ / 脅威インテリジェンス
RatOnと呼ばれる新たなAndroidマルウェアは、近距離無線通信(NFC)攻撃を行う基本的なツールから、デバイス詐欺を実行するための自動送金システム(ATS)機能を備えた高度なリモートアクセス型トロイの木馬へと進化しました。
「RatOnは従来型のオーバーレイ攻撃と自動送金、NFCリレー機能を組み合わせており、非常に強力な脅威となっています」と、オランダのモバイルセキュリティ企業ThreatFabricは本日発表したレポートで述べています。
このバンキング型トロイの木馬は、MetaMask、Trust、Blockchain.com、Phantomなどの暗号資産ウォレットアプリを標的としたアカウント乗っ取り機能を備えており、チェコ共和国で利用されている銀行アプリ「George Česko」を悪用して自動送金も実行可能です。
さらに、カスタムオーバーレイページやデバイスロックを用いたランサムウェアのような攻撃も可能です。なお、HOOK Androidトロイの木馬の亜種もランサムウェア風のオーバーレイスクリーンを組み込み、恐喝メッセージを表示することが確認されています。
RatOnを配布する最初のサンプルは2025年7月5日に野生で検出されており、2025年8月29日にも新たな痕跡が発見されていることから、運用者による積極的な開発が続いていることが示唆されます。
RatOnは、TikTokの成人向けバージョン(TikTok 18+)を装った偽のPlayストアリストページを利用し、トロイの木馬を配布する悪意あるドロッパーアプリをホストしてきました。ユーザーがどのようにしてこれらのサイトに誘導されているかは現時点では不明ですが、チェコ語およびスロバキア語話者が標的となっています。
ドロッパーアプリがインストールされると、ユーザーに対し、サードパーティ製アプリのインストール許可を求め、GoogleがAndroidのアクセシビリティサービス悪用防止のために課している重要なセキュリティ対策を回避します。
第2段階のペイロードは、その後、デバイス管理者およびアクセシビリティサービスの権限、さらに連絡先の読み書きやシステム設定の管理権限を要求し、悪意ある機能を実現します。
これには、必要に応じて追加の権限を自ら付与し、第3段階のマルウェア(NFCリレー攻撃をGhost Tapという手法で実行できるNFSkateマルウェア)をダウンロードすることも含まれます。このマルウェアファミリーは2024年11月に初めて記録されました。
「アカウント乗っ取りや自動送金機能から、攻撃者が標的アプリの内部構造をよく理解していることが分かります」とThreatFabricは述べており、このマルウェアはゼロから開発され、他のAndroidバンキングマルウェアとのコードの類似性はないと説明しています。
それだけではありません。RatOnは、ユーザーのスマートフォンが児童ポルノの閲覧・配布のためにロックされたと主張し、2時間以内にアクセスを回復するには暗号資産で200ドルを支払うよう要求する、ランサムノートに似たオーバーレイスクリーンも表示できます。
これらのランサムノートは、被害者に偽の緊急感を与え、暗号資産アプリを開かせて即座に取引を行わせることで、攻撃者がデバイスのPINコードを取得できるように設計されていると考えられます。
「RatOnは、対応するコマンドを受け取ると、標的の暗号資産ウォレットアプリを起動し、盗まれたPINコードでロックを解除し、アプリのセキュリティ設定に関連するインターフェース要素をクリックし、最終的にシークレットフレーズを表示させることができます」とThreatFabricはアカウント乗っ取り機能の詳細を説明しています。
その後、機密データはキーロガーコンポーネントによって記録され、脅威アクターが管理する外部サーバーに送信されます。攻撃者はこれらのシードフレーズを利用して被害者のアカウントに不正アクセスし、暗号資産を盗むことができます。
RatOnが処理する主なコマンドの一部は以下の通りです:
- send_push:偽のプッシュ通知を送信する
- screen_lock:デバイスのロック画面タイムアウトを指定した値に変更する
- WhatsApp:WhatsAppを起動する
- app_inject:標的となる金融アプリのリストを変更する
- update_device:インストール済みアプリのリストとデバイスのフィンガープリントを送信する
- send_sms:アクセシビリティサービスを利用してSMSメッセージを送信する
- Facebook:Facebookを起動する
- nfs:NFSkate APKマルウェアをダウンロードして実行する
- transfer:George Českoを使ってATSを実行する
- lock:デバイス管理者権限を使ってデバイスをロックする
- add_contact:指定した名前と電話番号で新しい連絡先を作成する
- record:画面キャストセッションを開始する
- display:画面キャストのオン/オフを切り替える
「この脅威アクターグループは当初チェコ共和国を標的としており、次はスロバキアが焦点となる可能性が高い」とThreatFabricは述べています。「単一の銀行アプリケーションに集中している理由は不明ですが、自動送金には現地の銀行口座番号が必要なことから、脅威アクターが現地のマネーミュールと協力している可能性が示唆されます。」
翻訳元: https://thehackernews.com/2025/09/raton-android-malware-detected-with-nfc.html