Аналитики компании ThreatFabric сообщили о появлении уникального банковского трояна RatOn, который объединяет функции классического Android-вредоноса с возможностями удалённого доступа и атаками на платёжные приложения.
В отличие от большинства мобильных троянов, RatOn сочетает несколько механизмов: наложение фальшивых экранов поверх легитимных сервисов, автоматизацию переводов внутри банковских приложений и использование NFC-релея для кражи данных карт. Такой набор делает его крайне опасным инструментом, позволяющим как скрытно управлять устройством, так и напрямую похищать деньги.
По данным ThreatFabric, RatOn связан с группой NFSkate, которая ранее разрабатывала инструменты для атак через бесконтактные платежи. Первые образцы нового трояна датируются июлем 2025 года, а активность фиксировалась до конца августа. В ходе кампании злоумышленники регистрировали сайты с эротическим контентом. Именно там размещался загрузчик, маскировавшийся под сторонний установщик и запрашивавший разрешение на инсталляцию приложений из неизвестных источников.
После получения доступа загрузчик открывал страницу с кнопкой установки, запускавшей скрытую функцию installApk. В результате на смартфон жертвы попадал второй компонент, который требовал права администратора устройства и доступ к сервисам специальных возможностей Android. С их помощью RatOn получал полный контроль над экраном, умел обходить системные диалоги и самостоятельно подтверждать предоставленные разрешения. Затем он мог загружать третий модуль — вредонос NFSkate, ориентированный на проведение атак через NFC.
Основные функции RatOn построены вокруг Accessibility API. Троян умеет анализировать текущее состояние интерфейса и пересылать его операторам, имитировать клики по кнопкам, вводить PIN-коды и изменять параметры системы.
Для проведения мошеннических операций применяются два подхода: отображение оверлеев с поддельными формами, а также ATS-атаки внутри банковского приложения. В ходе такой операции RatOn получает команду с реквизитами перевода и последовательно нажимает элементы интерфейса — от инициализации платежа до финального подтверждения с вводом ранее украденного PIN-кода. Дополнительно троян может проверять и изменять лимиты переводов, что указывает на наличие у преступников инфраструктуры денежных мулов.
Особое внимание уделено криптовалютным кошелькам. Вредонос поддерживает MetaMask, Trust Wallet, Blockchain.com и Phantom. Получив команду, RatOn автоматически запускает соответствующее приложение, вводит сохранённый пароль или PIN, заходит в настройки безопасности и выводит мнемоническую фразу. Кейлоггер фиксирует эти данные и отправляет их на управляющий сервер. Интересно, что для атакующих интерфейсы реализованы сразу на четырёх языках — английском, русском, чешском и словацком.
Набор доступных оператору команд чрезвычайно широк: от запуска WhatsApp и Facebook до подмены содержимого буфера обмена, рассылки SMS, изменения яркости и блокировки экрана. Поддерживается и трансляция экрана в режиме реального времени, что превращает RatOn в полноценный инструмент удалённого администрирования заражённых смартфонов. Также реализованы функции блокировки устройства и вывода вымогательских сообщений, хотя исследователи считают этот сценарий второстепенным по сравнению с автоматическими переводами средств.
Технический анализ показал, что код RatOn был написан с нуля и не имеет общих фрагментов с другими известными семействами. Это подтверждает, что группа NFSkate вкладывает серьёзные ресурсы в развитие собственного инструментария. На первом этапе кампании вредонос ориентировался на пользователей Чехии, однако поддержка нескольких языков и работа с глобальными криптовалютными сервисами свидетельствуют о планах расширить географию атак. Эксперты отмечают, что появление подобного трояна резко повышает уровень угрозы для мобильного банкинга, так как сочетание RAT-функций, NFC-релея и ATS делает его практически универсальным оружием в руках преступников.