Devis de remise multi-licences
Données concernant les menaces Cheval de Troie bancaire Logiciel malveillant RatOn pour Android

Logiciel malveillant RatOn pour Android

Par Favila en Cheval de Troie bancaire, Logiciels malveillants mobiles
Se traduisent par :

RatOn, un nouveau malware Android, a rapidement évolué, passant d'un simple outil de relais NFC (Near Field Communication) à un cheval de Troie d'accès à distance (RAT) sophistiqué. Grâce à sa fonctionnalité ATS (Automated Transfer System), ses modules d'attaque par superposition et ses fonctionnalités de type ransomware, RatOn s'impose comme l'une des menaces les plus polyvalentes ciblant les appareils mobiles.

Une combinaison unique de vecteurs d’attaque

RatOn se distingue car il fusionne plusieurs techniques malveillantes dans un seul framework :

  • Attaques par superposition pour voler des informations d'identification.
  • Transferts d’argent automatisés (ATS) pour vider les comptes bancaires.
  • Capacités de relais NFC via la technique Ghost Tap.

Cette combinaison rend RatOn très dangereux par rapport aux chevaux de Troie bancaires Android classiques.

Cibles : applications bancaires et cryptographiques

Le logiciel malveillant est doté de fonctions de prise de contrôle de compte ciblant spécifiquement les applications de portefeuille de cryptomonnaies telles que MetaMask, Trust, Blockchain.com et Phantom. Il exploite également George Česko, une application bancaire populaire en République tchèque, pour automatiser les virements frauduleux.

Au-delà du vol financier, RatOn peut verrouiller des appareils et déployer de faux écrans de demande de rançon. Ces superpositions imitent des messages d'extorsion, accusant les victimes de visionner ou de diffuser du contenu illégal, et exigent un paiement de 200 dollars en cryptomonnaies dans les deux heures. Ces tactiques de coercition non seulement exercent une pression sur les utilisateurs, mais offrent également aux attaquants la possibilité de récupérer des codes PIN et de compromettre directement les applications de portefeuille.

Tactiques de développement actif et de diffusion

Le premier échantillon de RatOn est apparu le 5 juillet 2025, et d'autres versions ont été observées jusqu'au 29 août 2025, ce qui indique un développement en cours. La distribution repose sur de fausses fiches Google Play Store qui se font passer pour une version adulte de TikTok (TikTok 18+). Ces applications installent des charges utiles malveillantes tout en demandant des autorisations pour contourner les mesures d'accessibilité de Google.

Après l'installation, RatOn élève les privilèges en demandant les droits d'administration de l'appareil, les services d'accessibilité et l'accès aux contacts et aux paramètres système. Il récupère ensuite d'autres composants malveillants, notamment le malware NFSkate, déjà documenté, qui gère les attaques par relais NFC.

Capacités avancées de prise de contrôle de compte

RatOn démontre une compréhension approfondie de ses cibles. Une fois actif, il peut :

  • Lancez des applications de crypto-monnaie et déverrouillez-les à l'aide de codes PIN volés.
  • Interagissez avec les paramètres de sécurité de l'application.
  • Extraire les phrases de récupération secrètes.

Ces données sont enregistrées via un enregistreur de frappe intégré et envoyées à des serveurs contrôlés par l'attaquant, permettant ainsi un contrôle total sur les portefeuilles de cryptomonnaies compromis. Il est à noter que le code source de RatOn ne présente aucun chevauchement avec d'autres familles de logiciels malveillants bancaires Android, ce qui suggère qu'il a été développé de toutes pièces.

Commandes et opérations prises en charge

RatOn prend en charge un large éventail de commandes permettant aux attaquants de manipuler les appareils infectés de manière extensive. Parmi les plus notables, on peut citer :

  • send_push – envoyer de fausses notifications push
  • app_inject – modifier la liste des applications ciblées
  • transfert – exécuter la fraude ATS via George Česko
  • nfs – télécharger et exécuter le malware NFSkate
  • screen_lock – modifier le délai de verrouillage de l'appareil
  • verrouiller – verrouiller l'appareil à distance
  • enregistrement/affichage – contrôle des sessions de diffusion d'écran
  • send_sms – envoyer des SMS via des services d'accessibilité
  • add_contact – créer de nouveaux contacts
  • update_device – exfiltrer les empreintes digitales des appareils et les listes d'applications installées

Focus régional et stratégie des acteurs menaçants

Les chercheurs constatent que l'activité de RatOn est actuellement concentrée en République tchèque, la Slovaquie étant probablement la prochaine cible. La décision de se concentrer sur une application bancaire régionale unique reste incertaine. Cependant, les virements automatisés nécessitant des numéros de compte locaux suggèrent une coopération avec des réseaux locaux de mules financières.

Tendance

Violation de données chez Salesloft

Vulnérabilité, Menace persistante avancée (APT)
Une cyberattaque de grande ampleur a compromis l'intégration de Salesloft avec l'agent de chat Drift AI, permettant aux pirates de voler des jetons OAuth et d'actualisation. L'acteur malveillant, identifié sous le numéro UNC6395, a exploité ces jetons volés pour pénétrer les environnements clients Salesforce. Les experts en sécurité ont identifié plus de 700 organisations potentiellement...

Le plus regardé

Chargement...