RatOnはリモートアクセストロイ型マルウェアです。
名前のままですね。
しかし、このマルウェアもまた新たな方式で悪事を実行することを狙った機構を搭載しています。
見てみましょう。
- ドロッパーアプリの配布
RatOnは直接配布されるのではなく、ドロッパーの役割を果たす別のマルウェアの配布から始まります。
ドロッパーはいくつかの方法で配布されているようですが、例えば18歳以上向けのTikTokというタイトルの偽のPlayストアで始まります。 - RatOnの設置
ドロッパーがダウンロードされて起動されるとRatOnが設置されます。
RatOnの設置に先立ち、アクセシビリティ権限を要求し、連絡先の読み取り/書き込みおよびシステム設定の管理の権限を要求します。 - RatOnの機能
RatOnは高機能です。
自動送金機能、暗号資産ウォレット攻撃機能、ボットコマンド機能を搭載しています。 - 活動開始
さて、設置が完了したら攻撃の開始です。
まずはC2からの指示に従って、画面をロックし、ロック解除を実施するためには身代金を払うことを要求する内容の画面をオーバーレイ表示します。
この画面を見た感染端末の所有者は平常心を乱します。
金銭を要求されて焦った所有者はどうするでしょうか。
支払いに至る前に、まずは支払い方法に利用するかもしれないアプリを起動し、そこにある資産の金額を確認する人も少なくないと思います。
脅威アクターは、これを待っています。
金融系アプリのログインに必要な情報をマルウェアの機能を使って取得します。
ログインに必要な情報を入手されてしまえば、あとはもう資産を盗まれるだけです。
脅威アクターはボットコマンド機能で端末を操作し、自動送金機能や暗号資産ウォレット攻撃機能を使って金銭を脅威アクターの懐に入れてしまいます。
2025年9月の現時点ではこのマルウェアのターゲット地域は一部の国に限られているようです。
しかし、技術的な制約は考えられませんので、遠くないタイミングで、もっと広い地域に広がってしまってもおかしくありません。
対策はいつも通りです。
アプリの入手場所には注意しましょう。
だいたいあれです、「いいもの見つけた!」というのは疑ってかからないといけないのでしょうね。
The Rise of RatOn: From NFC heists to remote control and ATS
https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats
| この記事をシェア |
|
|---|
