RatOn może zapoczątkować nową strategię ataków hakerskich
RatOn wyróżnia się na tle innych zagrożeń mobilnych swoją samodzielnością. Pierwsza próbka tego trojana została wykryta 5 lipca 2025 roku, co sugeruje, że cyberprzestępcy pracują nad tym zagrożeniem od co najmniej dwóch miesięcy. Po infiltracji urządzenia trojan samodzielnie kradnie kody PIN, loguje się na konta bankowe i wykonuje przelewy bez konieczności aktywnej interwencji atakujących.
Czytaj też: Rewolucja w Gmailu! Nowa zakładka “Zakupy” ułatwi śledzenie przesyłek
Szczególnie niepokojące jest to, że RatOn celuje również w popularne portfele kryptowalutowe, w tym MetaMask, Trust, Blockchain.com i Phantom, kradnąc frazy odzyskiwania potrzebne do przejęcia kontroli nad środkami cyfrowymi. Malware wykorzystuje wieloetapowy proces infekcji, nadużywając usług ułatwień dostępu Androida do uzyskania uprawnień administratora urządzenia. W niektórych przypadkach instaluje również dodatkowe złośliwe oprogramowanie NFSkate, służące do ataków na karty bankowe przez technologię NFC.
Kiedy RatOn wyczerpie już wszystkie dostępne środki finansowe ofiary, automatycznie aktywuje się jego druga funkcja. Oprogramowanie ransomware szyfruje dane użytkownika i blokuje dostęp do urządzenia, umożliwiając cyberprzestępcom wysyłanie wiadomości z żądaniem okupu za przywrócenie dostępu do telefonu.
Czytaj też: Koniec chaosu na czacie. Nowa funkcja WhatsAppa uporządkuje Twoje grupowe rozmowy
Ten dwuetapowy atak nie jest jednak odosobnionym przypadkiem. W sierpniu 2025 roku zespół Zimperium odkrył podobną strategię w trojanie Hook v3, który wprowadza 38 nowych komend, zwiększając ich łączną liczbę do 107. Hook v3 oferuje jeszcze bardziej zaawansowane funkcje, obejmujące nakładki w stylu ransomware, fałszywe nakładki NFC do oszukiwania ofiar, obejście ekranu blokady oraz ukryte sesje strumieniowania ekranu do monitorowania w czasie rzeczywistym.
RatOn dociera do urządzeń głównie przez domeny o tematyce dla dorosłych, często zawierające w nazwie “TikTok18+”. Te strony hostują złośliwe aplikacje typu dropper, które imitują popularne aplikacje społecznościowe. Dotychczas ataki były szczególnie skierowane na użytkowników czesko- i słowackojęzycznych.
Z kolei trojan Hook wykorzystuje nie tylko strony phishingowe, ale także platformę GitHub, gdzie cyberprzestępcy aktywnie hostują złośliwe pliki APK. To szczególnie niepokojące, ponieważ GitHub jest powszechnie uznawany za bezpieczną platformę dla deweloperów.
W obliczu rosnącego wyrafinowania mobilnych zagrożeń, podstawowe środki ostrożności nabierają krytycznego znaczenia. Użytkownicy powinni sprawdzać wiarygodność dostawcy aplikacji przed instalacją oraz obowiązkowo aktywować Google Play Protect w sklepie Google Play.
Czytaj też: Microsoft łączy Copiloty w jeden pakiet
W testach AV-Test z listopada 2024 roku, 13 z 15 rozwiązań antywirusowych na Androida uzyskało maksymalne wyniki, osiągając 100% wykrywalności złośliwego oprogramowania. Rekomendowane aplikacje to Bitdefender Mobile Security, Norton Mobile Security oraz darmowy Avast One Basic, które oferują ochronę przed malware, funkcje antykradzieżowe i dodatkowe zabezpieczenia.
Pojawienie się trojanów takich jak RatOn i Hook v3 sygnalizuje nową erę w cyberprzestępczości mobilnej. Tradycyjne granice między różnymi typami złośliwego oprogramowania zacierają się, a atakujący łączą różne techniki w celu maksymalizacji zysków. To wymaga od użytkowników większej świadomości i proaktywnego podejścia do bezpieczeństwa swoich urządzeń, choć trzeba przyznać, że walka z tak zaawansowanymi zagrożeniami staje się coraz trudniejsza dla przeciętnego użytkownika.