RatOn – новият Android троянски кон, който краде пари и криптовалути

В последните месеци експертите по киберсигурност алармират за нова заплаха за потребителите на Android – зловреден софтуер, наречен RatOn. Това не е просто поредният вирус за телефони, а изключително опасен троянски кон, създаден специално за кражба на пари и криптовалути.

От обикновен хак до пълноценен троянец

RatOn първоначално е бил сравнително прост инструмент за извършване на т.нар. NFC relay атаки – техника, при която престъпниците се опитват да “прехвърлят” безконтактни плащания. Но с времето зловредният код еволюирал и вече е истински remote access trojan (RAT) – програма, която позволява на нападателите да управляват заразения телефон от разстояние.

Днес RatOn комбинира няколко различни метода за измама:

• Автоматизирани парични преводи (ATS) – вирусът може сам да извършва трансакции през банкови приложения.
• Фалшиви екрани (overlay атаки) – показва измамни страници, които приличат на легитимни приложения.
• NFC relay атаки – злоупотреба с безконтактни плащания.

Тази комбинация го прави особено мощен и труден за засичане.

Кои приложения са в опасност

RatOn е насочен към приложения за криптовалути като MetaMask, Trust Wallet, Blockchain.com и Phantom. Освен това може да злоупотребява с банковото приложение George Česko, използвано в Чехия.
Целта е ясна – кражба на реални пари и дигитални активи.

Как се разпространява RatOn

Първите случаи на разпространение са засечени на 5 юли 2025 г., а нови варианти са открити и в края на август същата година. Това показва, че създателите активно го развиват.

Зловредният софтуер се прикрива като фалшиво приложение в Google Play, представящо се за „TikTok 18+“. По този начин жертвите сами изтеглят и инсталират т.нар. dropper – приложение, което служи за „примамка“ и после изтегля истинския вирус.

След инсталацията RatOn започва да изисква опасни права:

• инсталиране на други приложения от непознати източници,
• администраторски права върху устройството,
• достъп до настройките, контактите и услугите за достъпност (accessibility).

След като получи тези права, вирусът изтегля допълнителен зловреден код, включително добре познатия NFSkate, който извършва NFC relay атаки.

Функции, които го правят особено опасен

RatOn може:

• да изпраща фалшиви push-уведомления;
• да заключва екрана на телефона;
• да стартира приложения като WhatsApp или Facebook;
• да прави автоматични трансакции през банкови приложения;
• да създава нови контакти и да изпраща SMS-и;
• да записва екрана и да следи какво въвежда потребителят (keylogger).

Една от най-коварните техники е имитацията на ransomware атака – на екрана се показва „изнудващо“ съобщение, че телефонът е заключен заради незаконна дейност (например гледане на детска порнография) и че потребителят трябва да плати $200 в криптовалута, за да го отключи. Това е чиста манипулация, но често паниката кара жертвите да действат импулсивно и да отворят крипто портфейлите си – което позволява на RatOn да открадне техните ПИН кодове и seed фрази.

Защо е насочен към Чехия и Словакия

Експертите предполагат, че атаките в момента са фокусирани основно върху Чехия, а скоро ще обхванат и Словакия. Причината вероятно е свързана с местни „мулета“ – хора, които предоставят банкови сметки, през които минават парите от измамите.

Как да се предпазим

• Инсталирайте приложения само от официалния Google Play Store и винаги проверявайте издателя.
• Не давайте администраторски права на приложения, които нямат нужда от тях.
• Следете внимателно какви разрешения искат приложенията – ако TikTok изведнъж иска достъп до SMS-и или системни настройки, това е тревожен сигнал.
• Използвайте антивирусен софтуер за Android.
• Редовно обновявайте телефона си, за да имате последните пачове за сигурност.

RatOn е поредното доказателство, че мобилните телефони вече са основна цел за киберпрестъпниците. Ако използвате криптовалути или онлайн банкиране през смартфона си, бъдете изключително внимателни – защото за хакерите това е най-прекият път към парите ви.