- RatOnは、NFCリレー、オーバーレイ攻撃、自動送金を組み合わせた珍しいAndroidトロイの木馬です
- バンキングアプリや暗号資産ウォレットを標的とし、PINやリカバリーフレーズを盗みます
- 偽のTikTokアプリを通じて拡散され、主にチェコとスロバキアのユーザーを狙っています
セキュリティ研究者は、「これまでほとんど前例がない」機能を持つ珍しいタイプのAndroidマルウェアを発見しました。
今週初め、Threat FabricはNFCリレー機能を持つリモートアクセス型トロイの木馬(RAT)「RatOn」に関する詳細なレポートを公開しました。
NFCリレー攻撃とは、犯罪者が2台のデバイスを使い、実際には別の場所にあるカードやスマートフォンがその場にあるかのように決済端末を騙す手法です。一方のデバイス(感染したもの)が被害者のカードデータを読み取り、即座にもう一方のデバイスに送信し、そのデバイスが支払いを実行します。
RatOnマルウェア
「トロイの木馬が単なるNFCリレー用ツールから、自動送金システム(ATS)機能を持つ高度なRATへと進化する事例は、ほとんど前例がありません」とThreat Fabricは述べています。「そのため、ThreatFabric MTIアナリストによる新たなトロイの木馬RatOnの発見は特に注目に値します。RatOnは従来のオーバーレイ攻撃と自動送金、NFCリレー機能を融合しており、極めて強力な脅威となっています。」
RatOnは2025年7月初旬に初めて組み立てられ、最新バージョンは8月29日に登場しており、現在も開発が続いています。主にAndroidバンキングトロイの木馬として機能し、デバイスやアカウントを乗っ取ります。また、MetaMask、Trust Wallet、Blockchain.com、Phantomなどの暗号資産ウォレットも標的とし、PINやリカバリーフレーズを盗むことができます。
このマルウェアは、ユーザーを騙すためのオーバーレイやデバイスのロックも行い、George Českoバンキングアプリを使って自動送金を実行します。George Českoはチェコのモバイルバンキングアプリであることから、攻撃者は主にチェコとスロバキアの個人を標的にしていると研究者は結論付けました。
このマルウェアは、偽装されたGoogle Playストアのページを通じて配布されています。これらのページは、マルウェアドロッパーをホストする成人向けバージョンのTikTokアプリを装っていました。
インストールされると、ドロッパーは被害者に対して特定の権限を要求し、その中にはサードパーティ製アプリのダウンロードを許可する権限も含まれています。これが許可されると、第二段階のペイロードが展開され、さらに追加の権限、特に恐れられているアクセシビリティサービスの許可を求めてきます。
