RatOn Androidマルウェア
RatOnと呼ばれる新たなAndroidマルウェアは、単純な近距離無線通信(NFC)中継ツールから、高度なリモートアクセス型トロイの木馬(RAT)へと急速に進化しました。自動転送システム(ATS)機能、オーバーレイ攻撃モジュール、そしてランサムウェアのような機能を備えたRatOnは、モバイルデバイスを標的とする最も汎用性の高い脅威の一つとして台頭しています。
目次
攻撃ベクトルのユニークな組み合わせ
RatOn は、複数の悪意のある手法を 1 つのフレームワークに統合している点で際立っています。
- 資格情報を盗むためのオーバーレイ攻撃。
- 銀行口座から資金を引き出す自動送金(ATS)
- Ghost Tap 技術によるNFC リレー機能。
この組み合わせにより、RatOn は一般的な Android バンキング型トロイの木馬に比べて非常に危険になります。
ターゲット: 銀行および暗号通貨アプリ
このマルウェアは、MetaMask、Trust、Blockchain.com、Phantomといった暗号通貨ウォレットアプリを特に標的としたアカウント乗っ取り機能を備えています。また、チェコ共和国で人気のバンキングアプリ「GeorgeČesko」を悪用し、不正送金を自動化します。
RatOnは金銭窃盗に加え、デバイスをロックしたり、偽の身代金要求画面を表示したりすることも可能です。これらのオーバーレイは恐喝メッセージを模倣し、被害者が違法コンテンツを閲覧または配信したと非難し、2時間以内に200ドルの仮想通貨の支払いを要求します。このような脅迫戦術は、ユーザーに圧力をかけるだけでなく、攻撃者がPINコードを取得し、ウォレットアプリに直接侵入する機会も生み出します。
積極的な開発と普及戦略
RatOnの最初のサンプルは2025年7月5日に出現し、その後も2025年8月29日までに新たなバージョンが確認されており、開発が継続していることを示しています。配布は、TikTokのアダルト版(TikTok 18歳以上)を装った偽のGoogle Playストアのリスティングを利用しています。これらのドロッパーアプリは、Googleのアクセシビリティ保護を回避するための権限を要求しながら、悪意のあるペイロードをインストールします。
RatOnはインストール後、デバイス管理権限、アクセシビリティサービス、連絡先やシステム設定へのアクセスを要求することで権限を昇格させます。その後、NFCリレー攻撃を処理する、以前に報告されたNFSkateマルウェアを含む追加のマルウェアコンポーネントを取得します。
高度なアカウント乗っ取り機能
RatOnは標的を深く理解しており、アクティブになると以下のことが可能になります。
- 暗号通貨アプリを起動し、盗まれた PIN を使用してロックを解除します。
- アプリ内のセキュリティ設定を操作します。
- 秘密の回復フレーズを抽出します。
このデータは内蔵キーロガーによって記録され、攻撃者が管理するサーバーに送信され、侵入した暗号資産ウォレットを完全に制御できるようになります。注目すべきは、RatOnのコードベースが他のAndroidバンキングマルウェアファミリーと重複していないことです。これは、RatOnがゼロから開発されたことを示唆しています。
サポートされているコマンドと操作
RatOnは、攻撃者が感染したデバイスを広範囲に操作することを可能にする幅広いコマンドをサポートしています。特に注目すべきものには以下が含まれます。
- send_push – 偽のプッシュ通知を配信する
- app_inject – 対象アプリのリストを変更する
- 転送– George Česko 経由で ATS 詐欺を実行
- nfs – NFSkateマルウェアをダウンロードして実行
- screen_lock – デバイスのロックタイムアウトを変更する
- ロック– デバイスをリモートでロックする
- 録画/表示– 画面キャストセッションを制御する
- send_sms – アクセシビリティサービスを通じてSMSメッセージを送信する
- add_contact – 新しい連絡先を作成する
- update_device – デバイスの指紋とインストール済みアプリのリストを盗み出す
地域的な焦点と脅威アクターの戦略
研究者らは、RatOnの活動は現在チェコ共和国に集中しており、次の標的はスロバキアになる可能性が高いと指摘しています。単一の地域向け銀行アプリケーションに焦点を絞る決定は依然として不透明です。しかし、自動送金に現地の口座番号が必要となることから、現地のマネーミュールネットワークとの協力が示唆されます。
