كشفت تقارير أمنية حديثة عن برمجية خبيثة جديدة تدعى RatOn تستهدف أجهزة أندرويد. بدأت RatOn كأداة بسيطة لتنفيذ هجمات NFC Relay لكنها تطورت بسرعة لتصبح حصان طروادة للتحكم عن بعد (RAT) بقدرات النقل التلقائي للأموال (ATS)، ما يجعلها تهديدًا فريدًا وخطيرًا في عالم الاحتيال المالي على الأجهزة المحمولة.
وظائف متقدمة واستهداف للتطبيقات المالية
وفقًا لشركة الأمن الهولندية التي نشرت التقرير، فإن RatOn تجمع بين هجمات Overlay التقليدية وعمليات التحويل التلقائي للأموال بالإضافة إلى وظائف NFC. البرمجية الخبيثة مجهزة بقدرات الاستيلاء على الحسابات وتستهدف تطبيقات المحافظ الرقمية مثل MetaMask وTrust وBlockchain.com وPhantom. كما أنها قادرة على تنفيذ تحويلات مالية تلقائية عبر استغلال تطبيق George Česko البنكي المستخدم في جمهورية التشيك. لا تتوقف خطورة RatOn عند ذلك، فهي تستطيع أيضًا تنفيذ هجمات شبيهة ببرمجيات الفدية عبر شاشات مخصصة للإغلاق ورسائل ابتزاز.
آلية الانتشار
تم اكتشاف أول عينة من RatOn في 5 يوليو 2025، مع عينات أحدث حتى 29 أغسطس 2025، ما يشير إلى أن التطوير لا يزال نشطًا. استغلت RatOn صفحات مزيفة على متجر بلاي متنكرة كتطبيق TikTok 18+ لاستضافة تطبيقات مزيفة (Droppers) توصل الحمولة الضارة. بمجرد التثبيت، يطلب التطبيق إذن تثبيت تطبيقات من مصادر خارجية لتجاوز قيود جوجل، ثم يطلب صلاحيات إدارة الجهاز وخدمات إمكانية الوصول، بالإضافة إلى صلاحيات قراءة وكتابة جهات الاتصال وإدارة الإعدادات. في المرحلة التالية، يتم تنزيل برمجية NFSkate، القادرة على تنفيذ هجمات NFC Relay باستخدام تقنية تدعى Ghost Tap.
تقنيات متطورة لسرقة البيانات
أوضحت شركة ThreatFabric أن المهاجمين يعرفون جيدًا تفاصيل التطبيقات المستهدفة، حيث يمكن لـ RatOn تنفيذ أوامر مثل:
-
send_push: إرسال إشعارات مزيفة
-
transfer: تنفيذ تحويلات مالية تلقائية عبر George Česko
-
nfs: تنزيل وتشغيل برمجية NFSkate
-
lock: قفل الجهاز عبر صلاحيات الإدارة
-
record: تشغيل تسجيل شاشة مباشر
-
app_inject: تعديل قائمة التطبيقات المالية المستهدفة
-
display: التحكم بتشغيل أو إيقاف مشاركة الشاشة
كما يمكنها فتح تطبيقات مثل WhatsApp وFacebook وتنفيذ هجمات Overlay تعرض رسائل مزيفة تزعم أن الهاتف مغلق بسبب “مشاهدة محتوى غير قانوني”، مطالبة بدفع 200 دولار بالعملات الرقمية لاستعادة الوصول خلال ساعتين. هذه الرسائل تهدف إلى إثارة الذعر وإجبار الضحية على فتح تطبيقات المحافظ الرقمية، حيث يتم تسجيل رمز PIN وسرقة عبارات الاسترداد (Seed Phrases) عبر مكونات Keylogger، ما يمنح المهاجمين وصولًا كاملًا لحسابات الضحايا.
الأهداف الجغرافية
تشير البيانات إلى أن المهاجمين استهدفوا جمهورية التشيك في البداية، مع احتمالية أن تكون سلوفاكيا الهدف التالي. يعتقد الباحثون أن المهاجمين يتعاونون مع وسطاء محليين (Money Mules) لتنفيذ التحويلات، إذ أن المعاملات التلقائية تتطلب أرقام حسابات مصرفية محلية.
الخلاصة
تمثل RatOn جيلًا جديدًا من برمجيات أندرويد الخبيثة، يجمع بين هجمات NFC Relay، الاستيلاء على الحسابات، والابتزاز الرقمي. قدرتها على استهداف تطبيقات العملات الرقمية والبنوك المحلية تجعلها تهديدًا متزايدًا لمستخدمي الهواتف في أوروبا الوسطى، وتبرز الحاجة إلى تعزيز الوعي الأمني وتجنب تنزيل التطبيقات من مصادر غير رسمية أو مشبوهة.
