随着智能手机的普及,针对安卓系统的恶意软件攻击呈现多样化和高级化趋势。近期,一种名为RatOn的新型安卓恶意软件备受安全界关注。该恶意软件结合了近场通信(NFC)中继技术与自动转账系统(ATS)能力,带来了强大的银行诈骗风险。该威胁的出现不仅揭示了攻击者对移动支付和加密货币钱包应用的深入研究,同时也揭示了他们日益复杂的攻击策略。RatOn恶意软件最初于2025年7月在野外被捕获,随后持续发现多个样本,显示出其背后团队的活跃开发态势。此恶意软件通过模拟合法应用和多阶段渗透手段蔓延至东欧市场,尤其瞄准捷克和斯洛伐克语用户群体。
RatOn以其多功能性显著区别于传统的安卓银行特洛伊木马。首先,其利用NFC中继技术,可绕过部分物理限制实施支付欺诈。攻击者通过一个被称为NFSkate(别名NGate)的恶意APK,执行基于Ghost Tap技术的NFC中继攻击,从而在无须用户直接操作的情况下,接管支付授权流程。该技术借鉴于合法研究工具NFCGate,但经过黑客重构以适应犯罪应用场景。其次,RatOn装备了强大的自动转账系统,针对特定银行应用如捷克本地的George Česko银行APP,能自动执行资金转移指令。攻击者能够远程控制该木马,精准执行各类命令,包括发起虚假推送通知、屏幕锁定、短信发送及联系人添加等操作,进一步伪装其恶意行为,规避安全检测。
除此之外,RatOn针对加密货币钱包应用也展开攻击,涵盖MetaMask、Trust钱包、Blockchain.com和Phantom等知名平台。其不仅能启动应用、自动输入被窃取的PIN码解锁,还能访问并泄露用户助记词,从而完全掌控受害者数字资产。此过程通过内置键盘记录器悄无声息地进行,数据随后被发送至攻击者的远程服务器。在传播方式方面,RatOn利用假冒的Google Play商店页面,引诱用户下载声称为"TikTok 18+"的成人应用。而真正的恶意软件则以后门下载器的身份潜伏,一旦安装,便请求用户允许启用未知来源安装,绕过安卓系统对辅助服务功能的限制。这些权限包括设备管理权限和辅助功能权限,赋予恶意软件深度控制设备的能力,包括读取和修改联系人,管理系统设置,甚至锁定设备。
另一个值得警惕的特点是RatOn具备勒索软件特征,能够展示伪造的勒索界面,声称用户手机因涉嫌传播儿童色情内容而被锁定,并要求支付200美元比特币赎金,以期制造紧迫氛围迫使受害者配合操作。攻击者利用这种心理战术,引导用户打开目标加密钱包,完成交易过程,从而窃取PIN码和资金。安全研究机构ThreatFabric指出,RatOn的代码独立开发,与以往安卓银行木马无明显关联,显示出攻击集团具备深厚的技术积累和专注针对目标应用的能力。攻击命令涵盖广泛,几乎涵盖了对设备的完整掌控,包括屏幕操作、短信发送、联系人管理、推送信息伪造及远程下载执行其他恶意APK。值得注意的是,自动转账指令需要配合本地银行账户数据,暗示攻击者可能与当地钱币洗钱中介合作,以实现资金的快速转移和变现。面对RatOn及类似高级威胁,用户和企业应采取严密的防护措施。
首先,避免下载安装来源不明的应用,特别是通过非官方渠道获得的软件,降低感染风险。其次,谨慎授予应用权限,尤其是涉及辅助服务和设备管理权限时,应进行多重确认。定期更新系统及安全补丁也是关键手段,以防止已知漏洞被利用。企业可通过增强移动设备管理(MDM)策略,监测和限制应用权限使用,及时发现异常行为。此外,加强对员工的安全意识培训,识别钓鱼和社工攻击,是提升整体防御力的重要环节。数字资产持有者应对加密钱包开启双重认证及复杂密码保护,合理分散资金,避免单点风险。
全球安全社区亦需持续关注该威胁的发展动态,通过信息共享机制加速响应与防御。总结来看,RatOn恶意软件以其融合NFC中继攻击和自动化银行欺诈的多重手段,揭示了未来移动安全威胁的新趋势。面对技术日益复杂的攻击,用户、企业及安全机构必须切实强化安全防线,协同构建更加坚固的移动生态防护体系,才能有效遏制此类高危恶意软件带来的损失和风险。随着移动支付和加密资产的普及,防范以RatOn为代表的新型恶意软件,已成为稳固数字生活与金融安全不可忽视的重要课题。 。
