Le cheval de Troie RatOn et ses dangers pour Android : comment il fonctionne et comment se protéger

  • RatOn combine des superpositions, des ATS et des relais NFC pour voler de l'argent et prendre le contrôle de votre téléphone.
  • Il est distribué avec des leurres comme TikTok18+ et demande des autorisations critiques pour prendre le contrôle de l'appareil.
  • Ciblez les applications bancaires et les portefeuilles cryptographiques, avec des automatisations contre des flux comme George Česko.
Joaquin Romero

Minutes 15

comment fonctionne le cheval de Troie de la souris

Le cheval de Troie Android RatOn est apparu sur les radars de cybersécurité pour avoir combiné plusieurs techniques rarement observées sur les appareils mobiles. En quelques semaines, il est passé d'un outil axé sur le relais NFC à un cheval de Troie d'accès à distance avec transferts automatisés, superpositions et fonctions de type rançongiciel, un phénomène particulièrement inquiétant sur les appareils mobiles. Cela expose les utilisateurs au vol d’argent et à la perte de contrôle de l’appareil., c'est pourquoi il est pratique à utiliser applications pour améliorer la sécurité.

Selon des analyses publiées par des spécialistes, RatOn a été développé de toutes pièces, sans hériter du code de familles connues. Cette caractéristique complique sa détection initiale et explique pourquoi, malgré sa jeunesse, on lui attribue déjà un potentiel de dégâts élevé. Les premiers signes concrets de sa campagne sont apparus début juillet 2025, et de nouveaux artefacts ont été détectés fin août de la même année, confirmant que les attaquants continuent d'affiner leurs capacités et leurs capacités. maintenir le projet vivant et en évolution.

Qu'est-ce que le cheval de Troie RatOn et pourquoi est-il différent ?

RatOn est un cheval de Troie bancaire Android, un RAT (logiciel malveillant permettant aux attaquants de contrôler à distance le téléphone de la victime). La nouveauté réside non seulement dans le contrôle lui-même, mais aussi dans la combinaison de techniques avancées : attaques par superposition d'écran, système de transfert automatisé, relais NFC, verrouillage de l'appareil à des fins d'extorsion et fonctionnalités d'enregistrement de frappe. Le tout est orchestré par une longue liste de commandes qui lui confèrent une grande flexibilité d'action. en fonction des objectifs de l'attaquant et de l'environnement de la victime.

FireScam, le malware qui se fait passer pour Telegram Premium
Article connexe:
FireScam : le malware sophistiqué qui se fait passer pour Telegram Premium pour attaquer les appareils Android

Les analystes constatent qu'aucune similitude significative de code avec d'autres chevaux de Troie bancaires mobiles n'a été constatée. Cela suggère un développement propriétaire qui, au-delà du problème technique, a également des implications en matière de détection, car Les moteurs de sécurité ne peuvent pas s’appuyer sur des signatures précédentes pour le bloquer facilement..

Comment il est distribué : leurres attractifs et fausses pages

La campagne observée utilisait des domaines imitant l'expérience de la boutique officielle et attirant des contenus pour adultes. La principale affirmation détectée est une prétendue application appelée TikTok18+, apparemment conçue pour Android et destinée à attirer les utilisateurs tchèques et slovaques. Après avoir convaincu la victime, les fausses pages lui demandent d'installer le package depuis des sources externes, ouvrant ainsi la voie à la chaîne d'infection. contournant ainsi les protections habituelles de Google.

Le canal par lequel les utilisateurs accèdent à ces domaines n'a pas été entièrement élucidé, mais il est raisonnable d'envisager des techniques courantes d'ingénierie sociale telles que les publicités trompeuses, les messages promettant du contenu exclusif et les liens insérés sur des sites douteux. Le problème est qu'une fois le programme d'installation téléchargé, le reste du processus devient beaucoup plus difficile à arrêter pour un utilisateur lambda. car les actions demandées peuvent vous sembler normales.

Chaîne d'infection par étapes : du dropper à la charge utile avancée

Comment éviter de devenir victime du cheval de Troie de la souris

L'infection commence par un installateur malveillant, un injecteur qui demande l'autorisation d'installer des applications provenant de sources inconnues. Cette première étape, qui peut paraître anodine pour certains, est en réalité le déclencheur qui permet au véritable logiciel malveillant d'infecter l'appareil. Le processus demande ensuite autorisations critiques: Service d'accessibilité, privilèges d'administrateur, accès aux contacts en lecture et en écriture, et possibilité de gérer les paramètres système. Grâce à cet ensemble d'autorisations, l'attaquant peut agir librement. modifiez les paramètres, accordez de nouvelles autorisations à vos modules et restez persistant.

Dans un deuxième temps, la charge utile principale est déployée, permettant le contrôle à distance et des fonctionnalités bancaires avancées. Dans un troisième temps, un composant relais NFC spécialisé, appelé NFSkate, également connu sous le nom de NGate, est téléchargé. Ce module est une variante basée sur un outil de recherche légitime appelé NFCGate, qui, entre des mains malveillantes, peut relayer à distance des données de paiement. La technique associée, baptisée Ghost Tap, a été documentée par ESET en août 2024 et RatOn l'intègre à son arsenal. étendre sa portée au-delà de la simple capture d'informations d'identification.

Comment le relais NFC permet la fraude

Le relais NFC consiste à utiliser deux appareils pour piéger un terminal de paiement. L'un, proche de la victime, capture les données de la carte de paiement sans contact ; l'autre, situé là où l'escroc est physiquement présent, transmet ces données à un terminal de paiement pour finaliser la transaction. Le cheval de Troie RatOn, grâce à son module dédié, permet à un téléphone infecté de servir de capteur, permettant ainsi à l'attaquant de recevoir les informations en temps réel et de les utiliser pour effectuer des paiements à distance. Concrètement, cela signifie que le téléphone compromis peut servir de passerelle à l'escroquerie sans que la victime ne s'en aperçoive. surtout si l'appareil est déverrouillé et que le NFC est actif à des moments critiques.

Overlays, ATS et rachats d'applications financières

RatOn est passé maître dans l'art des attaques par superposition, plaçant de faux écrans sur des applications légitimes. Cette approche permet de cloner l'interface d'une application bancaire ou de paiement pour capturer les codes PIN, les mots de passe et les codes de vérification. Grâce au service d'accessibilité et aux privilèges d'administrateur, le logiciel malveillant peut interagir avec les éléments de l'interface, appuyer sur des boutons, confirmer des opérations et naviguer dans les menus comme s'il était l'utilisateur. faire croire à la victime qu'elle est dans la vraie application.

Sa fonction ATS (Automated Transfer System) se distingue par sa capacité à reconnaître les flux des applications financières et à saisir les informations volées pour finaliser les transferts d'argent. Des automatisations spécifiques ont été observées contre George Česko, une application bancaire populaire en République tchèque, ce qui explique en partie la portée géographique de la campagne. Cette automatisation réduit le temps nécessaire pour vider les comptes et, combinée au vol d'identifiants, permet des opérations avec peu d'intervention de la victime.

Les piratages de comptes ne se limitent pas aux banques traditionnelles. Le cheval de Troie RatOn cible également les portefeuilles de cryptomonnaies populaires tels que MetaMask, Trust Wallet, Blockchain.com et Phantom. Une fois le code PIN ou la phrase de récupération obtenu, le logiciel malveillant peut ouvrir l'application, la déverrouiller, accéder aux sections de sécurité et extraire les phrases secrètes, permettant ainsi le vol d'actifs. Cette capacité multi-portefeuilles et multilingue témoigne d'une volonté claire de s'implanter sur de nouveaux marchés. profitant de la traçabilité limitée de certains cryptoactifs.

Comportements liés aux ransomwares et à l'extorsion psychologique

Outre le vol et le contrôle, RatOn inclut des fonctionnalités permettant de verrouiller l'appareil et d'afficher des pages superposées contenant des demandes de rançon. Dans certains cas, les faux écrans accusent la victime d'avoir consulté ou distribué du contenu illégal et exigent le paiement de 200 dollars en cryptomonnaies dans les deux heures pour récupérer l'accès. Au-delà de la menace, l'objectif réel est important : forcer la personne à ouvrir une application de cryptomonnaie spécifique et à effectuer un transfert, après quoi le logiciel malveillant enregistre le code PIN et obtient les clés du compte. réalisant ainsi l'enlèvement sans que la victime ne s'en doute.

D'autres familles, comme une variante du cheval de Troie HOOK pour Android, ont été observées intégrant des écrans superposés de type rançongiciel, renforçant l'idée que ces techniques de pression psychologique deviennent la norme dans la cybercriminalité mobile. RatOn utilise la même approche pour monétiser rapidement et tromper les utilisateurs sur ce qui se passe réellement sur leur appareil. multiplier les chances de succès de la fraude.

Liste des commandes observées et à quoi elles servent

L'un des points forts du cheval de Troie RatOn réside dans sa liste de commandes à distance, facilitant le contrôle à distance. Les commandes identifiées sont les suivantes, illustrant sa portée et sa polyvalence opérationnelle : de l'usurpation d'identité au blocage terminal:

  • envoyer_push:Envoie de fausses notifications push à l'utilisateur.
  • verrouillage d'écran: Ajuste le délai d'expiration de l'écran de verrouillage.
  • WhatsApp:Lance l'application pour interagir avec ou espionner les flux de communication.
  • application_inject: Modifie la liste des applications financières cibles pour les superpositions.
  • mettre à jour_appareil: Envoie la liste des applications installées et les données de l'appareil.
  • envoyer_sms:Envoyer des SMS en utilisant le service d'accessibilité.
  • Facebook:Ouvrez l'application à des fins de fraude ou de capture de données.
  • nfs: Téléchargez et exécutez l'APK NFSkate pour le streaming NFC.
  • transfert:Exécutez ATS contre des flux comme celui de George Česko.
  • bloquer: Verrouillez l'appareil à l'aide des privilèges administratifs.
  • ajouter le contact: crée de nouveaux contacts dans le carnet d'adresses de la victime.
  • grabar:Démarrez une session de streaming ou d'enregistrement d'écran.
  • écran: Active ou désactive le screencasting lorsque l'attaquant le commande.

De plus, les chercheurs soulignent des actions telles que la simulation d'un clic sur le bouton Accueil, la modification du presse-papiers ou l'envoi de l'état de l'écran en temps réel, qui complètent ses fonctions d'enregistrement de frappe. Grâce à ce répertoire, l'attaquant peut exécuter des chaînes de fraude complètes sans éveiller les soupçons. automatiser les étapes qui, dans d'autres chevaux de Troie, nécessitaient une intervention manuelle.

Portée, chronologie et acteurs derrière la campagne

Les données suggèrent que cette activité touche principalement les utilisateurs d'Europe centrale, l'impact le plus important se situant en République tchèque et en Slovaquie. Les premiers échantillons liés à RatOn remontent au 5 juillet 2025, et de nouveaux échantillons ont été identifiés le 29 août 2025, ce qui témoigne d'une évolution continue. L'attribution technique désigne un groupe connu sous le nom de NFSkate, qui aurait hébergé les applications malveillantes sur plusieurs domaines avec des leurres hautement ciblés. destiné à des publics spécifiques et dans les langues locales.

Découvrez les logiciels malveillants qui clonent les cartes à l'aide de la technologie NFC
Article connexe:
SuperCard X et NGate : le nouveau malware qui clone les cartes de crédit via NFC sur Android et comment se protéger

Les rapports publiés par des entreprises spécialisées en sécurité mobile ont été essentiels pour documenter l'émergence de RatOn, ainsi que pour détailler sa nature modulaire et son évolution, passant d'un simple outil de relais NFC à un cheval de Troie bancaire entièrement automatisé. Sa création ex nihilo le distingue des clones ou des variantes opportunistes. ajoutant de la complexité à son étude et à sa neutralisation.

Indicateurs et panneaux d'avertissement pour l'utilisateur

Plusieurs comportements peuvent suggérer la présence de RatOn ou d'un cheval de Troie similaire. Par exemple, des demandes persistantes d'autorisations d'accès, de lecture et d'écriture de contacts, de gestion de l'appareil et de contrôle des paramètres système sont suspectes. Sont également suspects les modifications du délai de verrouillage de l'écran sans intervention de l'utilisateur, l'apparition de notifications push inattendues et la superposition d'écrans demandant des identifiants sensibles. surtout s'ils sont affichés sur des applications bancaires ou de crypto-monnaie.

Si vous détectez des applications récemment installées hors de la boutique officielle ou si votre appareil vous invite fréquemment à les installer depuis des sources inconnues, soyez extrêmement vigilant. Un autre signal d'alarme est la présence de pages imitant la boutique Google et proposant des versions modifiées de services populaires au contenu réservé aux adultes, car ce sont des canaux de distribution courants dans ces campagnes. qui font appel à la curiosité pour forcer des décharges impulsives.

Que faire si vous suspectez une infection sur votre téléphone ?

Si vous suspectez une infection, vous pouvez prendre des mesures concrètes pour limiter les dégâts. Vous trouverez ci-dessous un protocole de base, basé sur des recommandations professionnelles, qui peut vous aider à couper la communication avec les attaquants et à reprendre le contrôle de votre appareil. assurer la sécurité de vos comptes et de vos données personnelles:

  • Se déconnecter d'Internet: Désactive les données mobiles et le Wi-Fi pour empêcher les logiciels malveillants de communiquer avec votre serveur.
  • N'interagissez pas avec des messages ou des invites suspects- Évitez de cliquer sur des liens ou d'ouvrir des pièces jointes APK.
  • Supprimer les autorisations suspectes: Vérifiez l’accès administrateur et l’accessibilité dans les paramètres et révoquez-les sans suivre les instructions externes.
  • Démarrez en mode sans échec:Cela empêche les applications tierces de s'exécuter au démarrage.
  • Analysez avec un antimalware réputé:Utilisez Play Protect ou des solutions de sécurité mobile connues.
  • Désinstaller les applications inconnues ou récentes:à partir des Paramètres dans la section Applications ; si cela ne vous le permet pas, demandez l'aide d'un professionnel.
  • Changer les mots de passe et activer la 2FA:Faites-le à partir d’un autre appareil propre, en commençant par la messagerie électronique, les services bancaires et les portefeuilles.
  • Sauvegarde et réinitialisation d'usine:Si les signes persistent, évaluez Faire une sauvegarde et restaurer le terminal aux paramètres d'usine.
  • Contactez votre banque:Bloquez des comptes ou des cartes si vous détectez des accès irréguliers ou des transferts non autorisés.
  • Demandez un soutien professionnel:indispensable s'il s'agit d'un téléphone d'entreprise ou s'il contient des informations sensibles.

Bonnes pratiques pour réduire les risques

Mieux vaut prévenir que guérir, et dans le monde mobile, cela signifie être vigilant quant à l'endroit où vous installez vos applications et aux autorisations que vous accordez. Privilégiez toujours le téléchargement d'applications depuis les boutiques officielles comme Google Play, méfiez-vous des domaines inconnus et évitez les liens qui promettent des versions spéciales d'applications populaires. Avant d'accepter une autorisation, vérifiez si elle est pertinente pour l'application et évitez à tout prix d'accorder des privilèges d'administrateur ou l'accès à des outils non vérifiés. car ils constituent le raccourci préféré des chevaux de Troie pour prendre le contrôle de votre téléphone. Considérez également crypter votre mobile pour ajouter une autre couche de protection.

Si vous constatez un comportement inhabituel, agissez rapidement. Une réinitialisation d'usine rapide et un appel immédiat à votre institution financière peuvent faire toute la différence entre une alerte et un problème grave. Si vous gérez des environnements professionnels, envisagez des services de cybersécurité spécialisés, car ces menaces évoluent rapidement et nécessitent une défense proactive. contrôles anti-fraude et surveillance continue.

Contexte, références et autres menaces connexes

La documentation publique sur le cheval de Troie RatOn attribue les recherches à des entreprises de sécurité mobile et précise que le groupe NFSkate aurait hébergé les artefacts sur des domaines utilisant des leurres tels que TikTok18+. Des références sont également faites à la technique Ghost Tap décrite par ESET en 2024 et à la présence d'écrans de type rançongiciel déjà observés dans les variantes de HOOK, ce qui correspond à l'évolution récente de la fraude mobile. où les superpositions sont combinées avec des automatisations de haut niveau. Il est également utile de comprendre pourquoi les correctifs de sécurité et la gestion des vulnérabilités sont pertinents face à ces menaces, comme expliqué dans les articles sur patch de sécurité.

Certains articles mentionnent d'autres éléments du paysage, comme Crocodilus, un malware bancaire en pleine expansion, et explorent l'observabilité des bases de données bancaires dans le cadre de la transformation numérique. Bien que ces éléments ne fassent pas directement partie de RatOn, ils contribuent à expliquer pourquoi le secteur financier est une cible prioritaire et pourquoi une surveillance avancée est essentielle pour lutter contre ce type d'attaques. surtout lorsque l'ennemi peut prendre le contrôle de l'appareil du client.

Notes supplémentaires observées dans les sources

Des dates et des crédits tels que « Madrid 12 Sep Portaltic slash EP » ont été observés, ainsi que des mentions de ressources photographiques telles que Mouse Resource sur Unsplash et Frenjamin Benklin. Cela n'affecte pas l'analyse technique, mais indique que l'histoire a été largement relayée par les médias grand public. signe sans équivoque que le problème est préoccupant en raison de son impact potentiel.

Capacité d'évolution et risque futur

La transition rapide de RatOn du relais NFC aux ATS et aux overlays suggère que les acteurs du projet maîtrisent parfaitement le fonctionnement interne des applications attaquées. Les commentaires techniques témoignent d'une connaissance approfondie des interfaces bancaires et de cryptomonnaies, notamment de la navigation dans les sections de sécurité pour exfiltrer les phrases clés. Avec sa propre base de code et son architecture modulaire, il ne serait pas surprenant de voir bientôt de nouveaux modules ou secteurs d'attaque rejoindre le projet. y compris l'expansion des langues cibles et des banques.

Plus les utilisateurs sont nombreux, plus les cybercriminels sont incités à innover. De plus, le mobile, avec sa combinaison de services bancaires, de communications et de paiements de proximité, concentre un volume de données et de transactions irrésistible pour les attaquants. C'est pourquoi, tant au niveau individuel qu'au niveau de l'entreprise, il est crucial de renforcer la surface d'attaque grâce à des pratiques de moindre confiance et à la formation des utilisateurs. pour couper l'ingénierie sociale avant que la chaîne d'infection ne commence.

Services et soutien spécialisés

Dans l'écosystème actuel, de nombreuses entreprises recherchent l'accompagnement d'experts pour réduire leurs risques opérationnels face à des menaces comme RatOn. Certains fournisseurs proposent des déploiements et une surveillance proactive, voire des applications comme Proie pour renforcer votre Android afin de détecter les comportements anormaux, renforcer les appareils et protéger les transactions, vous aidant ainsi à atténuer les pertes et à réagir rapidement.

Parmi les entreprises mentionnées dans certains articles, on trouve E dea en tant qu'acteur proposant des solutions, un exemple de la façon dont le secteur a réagi à ce type de chevaux de Troie mobiles et comment les défenses stratifiées peuvent être articulées.

Il est également important de rappeler que, même si l'accent est souvent mis sur les logiciels malveillants, l'empreinte d'exposition est étroitement liée aux habitudes quotidiennes. Éviter les installations provenant de sources inconnues, éviter les allégations de contenu pour adultes ou les versions prétendument améliorées d'applications populaires, et prêter attention aux autorisations sont des barrières simples mais efficaces.

Mensonges sur le cheval de Troie RatOn

Dans le même écosystème médiatique, des nouvelles d'escroqueries et de phénomènes viraux ont circulé qui n'ont aucun rapport technique avec RatOn, comme l'arnaque dite du like ou les curiosités visuelles des interfaces iOS, qui montrent dans quelle mesure les revendications sociales peuvent diriger le trafic là où l'attaquant le souhaite et alimenter les décharges impulsives.

RatOn a démontré que le téléphone mobile peut être le pont idéal entre l'ingénierie sociale, le vol d'identifiants, la retransmission NFC et l'automatisation complète des transferts. Ajoutez à cela la possibilité de verrouiller l'appareil et d'utiliser des rançongiciels, et le mélange est délicat. Il est judicieux de renforcer ses habitudes de sécurité, de rester vigilant quant aux autorisations et aux sources d'installation, et de mettre en place un plan d'intervention.

PlayPraetor, le malware qui imite le Google Play Store
Article connexe:
PlayPraetor : le malware qui se fait passer pour Google Play et vole des données

Grâce à une combinaison de prudence de la part de l’utilisateur, de contrôles techniques et, le cas échéant, d’assistance professionnelle, les risques de tomber dans le piège sont réduits et la capacité de réaction est considérablement améliorée. Partagez l’information afin que davantage de personnes connaissent le cheval de Troie RatOn et sachent quoi faire pour l’éviter..


Suivez-nous sur Google Actualités