Эксперты по кибербезопасности выявили опасный Android-троян RatOn, который объединил в себе сразу несколько функций, ранее характерных для разных семейств вредоносов.
Изначально созданный для атак через NFC, он быстро превратился в полноценный инструмент удалённого доступа с возможностью автоматизированной кражи средств через банковские приложения и криптокошельки.
RatOn умеет перехватывать учётные данные, эмулировать пользовательский интерфейс, выполнять скрытые транзакции и даже ретранслировать NFC-команды. Особую угрозу представляет техника Ghost Tap, позволяющая проводить переводы через банкоматы и терминалы бесконтактной оплаты — даже если телефон заблокирован и владелец не догадывается о происходящем.
Троян уже нацелен на конкретные сервисы. Среди банковских приложений подтверждена работа с George Česko, популярным в Чехии, а в криптосегменте под удар попали MetaMask, Trust, Phantom и Blockchain.com. Помимо кражи средств, RatOn способен блокировать системные функции, выводить фальшивые оверлейные окна и требовать выкуп за разблокировку устройства — фактически совмещая возможности банковского трояна и программы-вымогателя.
Первые экземпляры RatOn были обнаружены в июле 2025 года, а к концу августа фиксировались новые версии, распространявшиеся через фальшивые страницы Play Store. Маскарад под «TikTok 18+» позволял обойти защиту Google и заставлял пользователей вручную разрешать установку приложений из сторонних источников.
Получив доступ к функциям специальных возможностей Android и правам администратора, вредонос закрепляется в системе и продолжает развиваться как многоуровневая платформа для финансовых атак.
Изначально созданный для атак через NFC, он быстро превратился в полноценный инструмент удалённого доступа с возможностью автоматизированной кражи средств через банковские приложения и криптокошельки.
RatOn умеет перехватывать учётные данные, эмулировать пользовательский интерфейс, выполнять скрытые транзакции и даже ретранслировать NFC-команды. Особую угрозу представляет техника Ghost Tap, позволяющая проводить переводы через банкоматы и терминалы бесконтактной оплаты — даже если телефон заблокирован и владелец не догадывается о происходящем.
Троян уже нацелен на конкретные сервисы. Среди банковских приложений подтверждена работа с George Česko, популярным в Чехии, а в криптосегменте под удар попали MetaMask, Trust, Phantom и Blockchain.com. Помимо кражи средств, RatOn способен блокировать системные функции, выводить фальшивые оверлейные окна и требовать выкуп за разблокировку устройства — фактически совмещая возможности банковского трояна и программы-вымогателя.
Первые экземпляры RatOn были обнаружены в июле 2025 года, а к концу августа фиксировались новые версии, распространявшиеся через фальшивые страницы Play Store. Маскарад под «TikTok 18+» позволял обойти защиту Google и заставлял пользователей вручную разрешать установку приложений из сторонних источников.
Получив доступ к функциям специальных возможностей Android и правам администратора, вредонос закрепляется в системе и продолжает развиваться как многоуровневая платформа для финансовых атак.
