Μια νέα και εξαιρετικά επικίνδυνη μορφή κακόβουλου λογισμικού για Android φέρνει στο φως η ερευνητική ομάδα της ThreatFabric, προκαλώντας ανησυχία σε ειδικούς ασφαλείας και χρήστες. Το RatOn, όπως ονομάστηκε το trojan, συνδυάζει τεχνικές που μέχρι σήμερα θεωρούνταν σχεδόν αδιανόητες στον κόσμο των ψηφιακών επιθέσεων, καθώς αξιοποιεί το Near Field Communication (NFC), πραγματοποιεί αυτοματοποιημένες μεταφορές χρημάτων και εξαπατά τα θύματα με παραπλανητικά overlays.
Το RatOn αποτελεί ένα σπάνιο παράδειγμα Android Remote Access Trojan (RAT) που ξεπερνά τα όρια των γνωστών μεθόδων, εισάγοντας νέες διαστάσεις στις επιθέσεις σε τραπεζικές εφαρμογές και πορτοφόλια κρυπτονομισμάτων. Οι ερευνητές το χαρακτηρίζουν ως μία από τις πιο εξελιγμένες απειλές που έχουν εμφανιστεί τα τελευταία χρόνια.
Πώς λειτουργεί η επίθεση μέσω NFC
Το πιο εντυπωσιακό χαρακτηριστικό του RatOn είναι η δυνατότητά του να πραγματοποιεί επιθέσεις τύπου NFC relay. Στην πράξη, οι κυβερνοεγκληματίες χρησιμοποιούν δύο συσκευές: η πρώτη, που έχει μολυνθεί, «διαβάζει» τα δεδομένα της κάρτας ή του τηλεφώνου του θύματος και τα μεταδίδει ακαριαία σε μια δεύτερη συσκευή. Η δεύτερη συσκευή βρίσκεται συνήθως κοντά σε ένα POS και πραγματοποιεί τη συναλλαγή σαν να ήταν το ίδιο το πραγματικό τηλέφωνο ή κάρτα του θύματος.
Η μέθοδος αυτή μετατρέπει το NFC σε όπλο για κλοπή χρημάτων, με τον χρήστη να μην υποψιάζεται το παραμικρό μέχρι να διαπιστώσει τις περίεργες κινήσεις στον τραπεζικό του λογαριασμό.
Συνδυασμός παλιών και νέων τεχνικών
Το RatOn δεν περιορίζεται μόνο στη χρήση του NFC. Η ThreatFabric εξηγεί ότι πρόκειται για μια απειλή που συνδυάζει παραδοσιακές μεθόδους, όπως τα overlays που «καλύπτουν» την οθόνη με ψεύτικα γραφικά, με σύγχρονες δυνατότητες όπως το Automated Transfer System (ATS). Αυτό σημαίνει ότι το κακόβουλο λογισμικό μπορεί να πραγματοποιεί αυτόματες μεταφορές χρημάτων, χωρίς καν να απαιτείται αλληλεπίδραση από το θύμα.
Η μοναδικότητα του RatOn έγκειται ακριβώς στον συνδυασμό αυτών των τεχνικών. Όπως τονίζουν οι ερευνητές, σπάνια ένα trojan εξελίσσεται από ένα απλό εργαλείο relay σε πλήρως ανεπτυγμένο RAT με δυνατότητες ATS.
Στόχοι και γεωγραφική εξάπλωση
Η πρώτη εμφάνιση του RatOn καταγράφηκε τον Ιούλιο του 2025, ενώ νέα έκδοσή του εντοπίστηκε στα τέλη Αυγούστου, στοιχείο που δείχνει ότι βρίσκεται σε ενεργή ανάπτυξη. Ο βασικός του στόχος είναι οι χρήστες τραπεζικών εφαρμογών σε Android συσκευές, με ιδιαίτερη έμφαση στην εφαρμογή George Česko, η οποία είναι δημοφιλής στην Τσεχία.
Επιπλέον, το RatOn στρέφεται και εναντίον πορτοφολιών κρυπτονομισμάτων όπως τα MetaMask, Trust Wallet, Blockchain.com και Phantom. Μέσω αυτής της προσέγγισης, μπορεί να αποσπά τόσο PINs όσο και recovery phrases, δίνοντας στους κυβερνοεγκληματίες πλήρη πρόσβαση στα ψηφιακά κεφάλαια των θυμάτων.
Η επιλογή της εφαρμογής George Česko οδήγησε τους ερευνητές στο συμπέρασμα ότι οι δημιουργοί του κακόβουλου λογισμικού έχουν θέσει στο στόχαστρο κυρίως χρήστες στην Τσεχία και τη Σλοβακία.
Η μέθοδος διασποράς
Το RatOn δεν φτάνει στις συσκευές των θυμάτων με τυχαίο τρόπο. Αντιθέτως, οι δημιουργοί του αξιοποίησαν ψεύτικες σελίδες που μιμούνταν το Google Play Store. Σε αυτές φιλοξενήθηκε μια παραποιημένη έκδοση του TikTok, η οποία στην πραγματικότητα περιείχε έναν malware dropper.
Με το που εγκαθίσταται η ψεύτικη εφαρμογή, ζητά από τον χρήστη συγκεκριμένα δικαιώματα, ανάμεσά τους και αυτό που επιτρέπει τη λήψη εφαρμογών από τρίτες πηγές. Αν ο ανυποψίαστος χρήστης παραχωρήσει τα δικαιώματα, ενεργοποιείται το δεύτερο στάδιο της μόλυνσης, το οποίο κατεβάζει το πλήρες κακόβουλο φορτίο. Στη συνέχεια, η εφαρμογή απαιτεί ακόμη περισσότερες άδειες, με πιο επικίνδυνη αυτή της πρόσβασης στις Accessibility Services, που ανοίγει τον δρόμο για πλήρη έλεγχο της συσκευής.
Γιατί το RatOn αποτελεί τόσο μεγάλη απειλή
Η περίπτωση του RatOn είναι ανησυχητική για δύο λόγους. Πρώτον, αποδεικνύει ότι οι κυβερνοεγκληματίες δεν περιορίζονται πλέον σε παραδοσιακές μεθόδους phishing ή σε απλά trojans που κλέβουν κωδικούς. Αντίθετα, πειραματίζονται με τεχνολογίες όπως το NFC, τις οποίες μετατρέπουν σε εργαλεία μαζικής κλοπής.
Δεύτερον, η χρήση των overlays και των Accessibility Services δείχνει πως οι δημιουργοί του RatOn στοχεύουν όχι μόνο στη γρήγορη κλοπή, αλλά και στην απόλυτη παράκαμψη της προσοχής του χρήστη. Ο συνδυασμός αυτών των μεθόδων καθιστά το malware εξαιρετικά δύσκολο να εντοπιστεί έγκαιρα.
Τι πρέπει να προσέχουν οι χρήστες
Οι ειδικοί ασφαλείας συμβουλεύουν τους χρήστες να είναι ιδιαίτερα προσεκτικοί με τις εφαρμογές που κατεβάζουν. Η λήψη εφαρμογών αποκλειστικά από το επίσημο Google Play Store δεν αποτελεί απόλυτη εγγύηση ασφάλειας, ωστόσο μειώνει σημαντικά τον κίνδυνο. Παράλληλα, οι χρήστες θα πρέπει να είναι καχύποπτοι με εφαρμογές που ζητούν υπερβολικά πολλά δικαιώματα, ειδικά αν δεν υπάρχει σαφής λόγος για κάτι τέτοιο.
[via]
