RatOn to nowo odkryty trojan na Androida opisany przez badaczy z ThreatFabric jako złożona, napisana od zera rodzina złośliwego oprogramowania, która łączy funkcje zdalnego dostępu (RAT) z automatycznym systemem transferów pieniędzy (ATS).
Artykuły branżowe podkreślają, że to nie kolejna odmiana starego kodu — badacze mówią o aktywnym, szybko rozwijanym projekcie.
Jak działa — NFC, overlay i Automatyczny System Transferów (ATS)
RatOn łączy przynajmniej trzy groźne techniki: ataki typu overlay (nakładki imitujące ekrany logowania banków i portfeli kryptowalut), zdolność do przeprowadzania automatycznych transferów środków (ATS) oraz wykorzystanie ataków typu NFC relay (przekazywanie transakcji zbliżeniowych).
W praktyce oznacza to, że atakujący mogą zdalnie przejąć ekran użytkownika, wyłudzić dane logowania lub seed portfela i jednocześnie wykonywać transfery bez jego wiedzy — a także wykorzystywać zainfekowane urządzenia do oszustw przy terminalach zbliżeniowych.
Skala i metoda dystrybucji — gdzie użytkownicy są najbardziej narażeni
Badacze odnotowali, że kampanie dystrybucyjne wykorzystują spreparowane strony i fałszywe, „dorosłe” wersje popularnych aplikacji (np. podszywające się pod TikTok18+), które nakłaniają do ręcznego pobrania APK poza Sklepem Play.
W praktyce oznacza to, że użytkownicy, którzy instalują aplikacje spoza oficjalnych źródeł lub zgadzają się na nadmierne uprawnienia (w tym Accessibility Services), są szczególnie narażeni.
Z raportów wynika też, że kod ataku był widoczny w sieci już w lipcu 2025, z aktywnymi aktualizacjami pod koniec sierpnia.
Kogo atakuje RatOn i jakie aplikacje są celem
Początkowe obserwacje wskazują na silne ukierunkowanie na bankowość mobilną w regionie Czech i Słowacji (m.in. celowanie w aplikację George Česko), a także na portfele kryptowalutowe — MetaMask, Trust Wallet i inne bywają wymieniane jako cele, ponieważ przechowywanie fraz odzyskiwania i PIN-ów stwarza ogromne ryzyko.
Eksperci ostrzegają jednak, że mechanizmy RatOn pozwalają łatwo rozszerzyć listę docelowych aplikacji i geograficzny zasięg kampanii.
Dlaczego RatOn jest inny i groźniejszy niż wcześniejsze trojany
Najważniejsza różnica to kombinacja technik: zamiast polegać tylko na overlayach albo tylko na relayach NFC, RatOn scala kilka wektorów ataku w jedną operację, co podnosi skuteczność i utrudnia wykrycie.
Dodatkowo mechanizmy ATS pozwalają na zautomatyzowanie wypływu środków, a moduły ransomware-lockscreen mogą dodatkowo wymusić okup, co zwiększa potencjalne straty ofiary.
Jak się chronić — praktyczne zalecenia dla użytkownika i firm
Podstawowa ochrona to nieinstalowanie aplikacji poza zaufanymi sklepami, weryfikowanie uprawnień aplikacji (nie przyznawaj Accessibility Services aplikacjom, których nie znasz) oraz korzystanie z mechanizmów ochronnych: Google Play Protect, aktualizacje systemu i zaufane aplikacje antywirusowe mobilne.
Firmy i operatorzy płatności powinni monitorować nietypowe wzorce transferów i rozważyć dodatkowe mechanizmy uwierzytelniania transakcji zbliżeniowych.
W przypadku podejrzenia infekcji eksperci rekomendują odłączenie urządzenia od sieci, wykonanie pełnego skanu i — jeśli to konieczne — przywrócenie urządzenia do ustawień fabrycznych po wykonaniu kopii ważnych danych.
Co dalej — czego się spodziewać i jak reaguje branża
Raporty wskazują, że RatOn jest aktywnie rozwijany i szybko adaptowany przez przestępców, co oznacza możliwość rozszerzenia zasięgu kampanii poza początkowe cele.
Firmy zajmujące się bezpieczeństwem mobilnym (m.in. Zimperium, Broadcom/Symantec i inni) już zgłosiły sygnatury wykrywania i wydają poprawki detekcji — dla użytkownika to sygnał, żeby nie ignorować aktualizacji bezpieczeństwa i komunikatów od dostawców antywirusów.
Konkluzja
RatOn to przypomnienie, że mobilna bankowość i portfele kryptowalutowe pozostają atrakcyjnym celem, a nowoczesne kampanie potrafią łączyć techniki w skali wcześniej niespotykanej. Ostrożność przy instalacjach, kontrola uprawnień i utrzymywanie systemu w najnowszym stanie to dziś najlepsza linia obrony.