RatOn è un nuovo malware Android che sta attirando l’attenzione degli esperti di sicurezza informatica per le sue avanzate capacità di attacco e frode bancaria. Nato inizialmente come semplice strumento di relay NFC, RatOn si è rapidamente evoluto in un vero e proprio trojan di accesso remoto con funzioni ATS (Automated Transfer System), diventando così una minaccia particolarmente insidiosa per utenti e istituti finanziari.

Caratteristiche principali

Questo malware unisce attacchi overlay tradizionali, trasferimenti automatici di denaro e funzionalità di relay NFC, rappresentando una combinazione rara e pericolosa nel panorama delle minacce mobili. RatOn è progettato specificamente per il takeover degli account su applicazioni di portafoglio criptovalute come MetaMask, Trust, Blockchain.com e Phantom, e può eseguire trasferimenti automatici sfruttando l’applicazione bancaria George Česko, molto diffusa in Repubblica Ceca.

Funzionalità ransomware e tecniche di attacco

Una delle caratteristiche più temute di RatOn è la capacità di eseguire attacchi in stile ransomware, bloccando il dispositivo della vittima e mostrando pagine di ricatto personalizzate. Il malware, infatti, può simulare messaggi che accusano l’utente di attività illegali, come la visione di materiale proibito, e richiedere il pagamento di un riscatto in criptovaluta entro poche ore.

Modalità di diffusione

RatOn viene diffuso attraverso pagine false che simulano il Play Store e propongono app contraffatte, come versioni “adulte” di TikTok. Dopo l’installazione, il dropper chiede permessi speciali per superare le protezioni di Android, come l’accesso ai servizi di accessibilità e la gestione delle impostazioni di sistema. Una volta ottenuti questi privilegi, scarica nuovi payload malevoli, tra cui NFSkate, un tool che permette attacchi NFC relay tramite la tecnica Ghost Tap.

Capacità e comandi remoti

Il malware è dotato di una vasta gamma di comandi remoti, tra cui invio di notifiche push false, modifica del blocco schermo, invio di SMS, installazione di app, registrazione dello schermo e molto altro. RatOn può anche forzare l’apertura delle app di criptovalute, sbloccarle usando PIN rubati e rivelare le frasi segrete di backup, trasmettendo tutto ai server controllati dagli attaccanti.

Diffusione e prospettive future

L’attività di RatOn si concentra attualmente su utenti di lingua ceca e slovacca, ma la sua evoluzione e la modularità del codice fanno pensare a una diffusione futura più ampia. La capacità di automatizzare i trasferimenti bancari suggerisce la collaborazione con reti locali di money mule.