Source: https://thehackernews.com/2025/09/raton-android-malware-detected-with-nfc.html
🛡 概要
新たに発見されたAndroidマルウェアRatOnは、近接通信(NFC)リレー攻撃を行う基本的なツールから進化し、遠隔アクセス型トロイの木馬としての自動送金機能を持つ詐欺ツールへと変貌を遂げました。このマルウェアは、従来のオーバーレイ攻撃と自動送金機能を統合しており、特に強力な脅威となっています。RatOnは、仮想通貨ウォレットアプリに対するアカウント乗っ取り機能を備え、特にCzech Republicの銀行アプリを狙っています。
🔍 技術詳細
RatOnは、2025年7月5日に最初のサンプルが確認され、その後も新たなアーティファクトが発見されており、アクティブな開発が続いていることが示されています。このマルウェアは、成人向けのTikTokを模倣した偽のPlay Storeリスティングページを利用して、マルウェアを配布します。ユーザーがこのドロッパーアプリをインストールすると、Googleのセキュリティ対策を回避するために、サードパーティのアプリのインストール許可を要求します。第二段階のペイロードは、デバイス管理やアクセシビリティサービスへのアクセスを求め、さらにNFSkateマルウェアをダウンロードします。このNFSkateは、Ghost Tapという技術を使用してNFCリレー攻撃を実行します。CVEやCVSSの情報は現在確認されていませんが、RatOnの開発者は対象アプリの内部構造を熟知していることが示されています。
⚠ 影響
RatOnは、仮想通貨ウォレットアプリに対するアカウント乗っ取りや自動送金機能を持ち、ユーザーの敏感なデータをキー ロガーによって記録し、外部サーバーに送信します。これにより、攻撃者は被害者のアカウントに不正アクセスし、仮想通貨資産を盗むことが可能となります。また、RatOnはユーザーのデバイスをロックし、子供のポルノを閲覧・配布しているとの偽の脅迫メッセージを表示することで、被害者に対して心理的なプレッシャーをかけます。このような手法は、被害者に急いで仮想通貨アプリを開かせ、PINコードを取得する目的で行われます。
🛠 対策
RatOnの脅威に対抗するためには、ユーザーは常に公式のアプリストアからのみアプリをインストールし、不審なリンクやアプリを避けることが重要です。また、デバイスのセキュリティ設定を強化し、アクセシビリティサービスへのアクセスを制限することも推奨されます。さらに、定期的にデバイスのセキュリティソフトウェアを更新し、最新の脅威情報に留意することが必要です。金融アプリを使用する際には、常に二段階認証を有効にし、パスワード管理を徹底することで、アカウントのセキュリティを向上させることができます。
