كشفت تقارير أمنية عن تطور برمجية خبيثة جديدة لأندرويد تُدعى RatOn، بدأت كأداة بسيطة لتنفيذ هجمات NFC Relay ثم تحولت إلى حصان طروادة متقدم بقدرات ATS (Automated Transfer System) تتيح تنفيذ عمليات احتيال مصرفي تلقائية.
وتجمع البرمجية بين هجمات التراكب التقليدية، والتحويلات المالية الآلية، مع وظائف NFC Relay، ما يجعلها تهديدًا فريدًا وخطيرًا.
استهداف محافظ العملات الرقمية والتطبيقات المصرفية
يأتي حصان طروادة مزودًا بوظائف استيلاء على الحسابات تستهدف تطبيقات المحافظ الرقمية مثل MetaMask وTrust وBlockchain.com وPhantom، إضافة إلى استغلال تطبيق George Česko البنكي في التشيك لإجراء تحويلات مالية آلية.
كما يمكنه تنفيذ هجمات شبيهة بالفدية عبر صفحات تراكب مخصصة لقفل الأجهزة وابتزاز المستخدمين، في تكتيك مشابه لنسخ معدلة من حصان طروادة HOOK.
أسلوب التوزيع وتجاوز الحماية
رُصدت أول عينة من RatOn في يوليو 2025 عبر صفحات مزيّفة لمتجر Play تتخفى في صورة نسخة للبالغين من تطبيق “تيك توك”. واستهدفت الحملة بالدرجة الأولى المستخدمين الناطقين بالتشيكية والسلوفاكية.
بمجرد تثبيت التطبيق الخادع، يطلب أذونات لتجاوز سياسات أمان أندرويد، مثل تثبيت التطبيقات من مصادر خارجية، ثم الحصول على صلاحيات الإدارة وخدمات الوصول، ليتمكن لاحقًا من تنزيل حمولة ثانية هي برمجية NFSkate، المختصة بتنفيذ هجمات NFC باستخدام تقنية Ghost Tap.
قدرات متقدمة للاستيلاء على الحسابات
وفقًا لـ ThreatFabric، يتمتع RatOn بفهم عميق لآليات التطبيقات المستهدفة، إذ يمكنه تشغيل تطبيق المحفظة الرقمية، إدخال رمز PIN المسروق، تعديل الإعدادات الأمنية، واستخراج العبارات السرية (Seed Phrases) اللازمة للسيطرة على الحساب.
وتُسجل البيانات الحساسة عبر مكون Keylogger وترسل إلى خوادم يسيطر عليها المهاجمون، الذين يمكنهم بدورهم سرقة أصول العملات الرقمية.
كما يعرض أحيانًا ملاحظات ابتزازية تزعم أن الهاتف مُقفل بسبب “محتوى غير قانوني”، وتطالب بدفع 200 دولار من العملات الرقمية خلال ساعتين، في محاولة لإجبار الضحية على فتح تطبيقات العملات الرقمية فورًا.
أوامر التحكم والانتشار الإقليمي
من بين أبرز الأوامر التي ينفذها RatOn: إرسال إشعارات مزيفة، قفل الجهاز، إطلاق واتساب أو فيسبوك، إرسال رسائل SMS، تشغيل بث الشاشة، إضافة جهات اتصال جديدة، وإجراء تحويلات مالية باستخدام تطبيق George Česko.
ويُعتقد أن المجموعة المهاجمة تركز في البداية على التشيك، مع مؤشرات على انتقال الهجمات إلى سلوفاكيا، وربما بالتعاون مع شبكات محلية لغسل الأموال.
