オランダのモバイルセキュリティ企業ThreatFabricは、RatOnと呼ばれる新しいAndroidマルウェアを検出したと発表した。
このマルウェアはNFC中継攻撃機能からATS機能を持つリモートアクセストロイに進化している。MetaMask、Trust、Blockchain.com、Phantomなどの暗号通貨ウォレットアプリケーションとチェコ共和国の銀行アプリケーションGeorge Českóを標的とする。TikTok 18+を装ったウェブサイトを通じて配布され、チェコ語とスロバキア語を話すユーザーを狙っている。
最初のサンプルは2025年7月5日に検出され、2025年8月29日まで新たなアーティファクトが発見されている。RatOnはランサムウェア様の攻撃も実行し、児童ポルノ閲覧を理由にデバイスをロックしたと偽り、200ドル相当の暗号通貨の支払いを要求する。NFSkateマルウェアをダウンロードしてGhost Tap技術を使用したNFC中継攻撃を実行する機能も持つ。
From: 
RatOn Android Malware Detected With NFC Relay and ATS Banking Fraud Capabilities
【編集部解説】
今回発見されたRatOnマルウェアは、モバイルセキュリティの脅威が大きく進化していることを示す象徴的な事例です。従来のAndroidマルウェアが単一の攻撃手法に特化していたのに対し、RatOnは複数の最新技術を組み合わせた「複合型脅威」として設計されています。
注目すべき点は、このマルウェアがNFC中継攻撃とATS(自動転送システム)を融合させた事実上前例のない極めて高度な事例であることです。NFC中継攻撃自体は2024年に発見されたNFSkateマルウェアから派生した技術ですが、RatOnはこれを単なる決済情報の中継から銀行口座の自動操作まで拡張しました。
特に深刻なのは、攻撃者がチェコの銀行アプリケーション「George Česko」の内部構造を詳細に理解していることです。これは攻撃者がアプリの内部構造を熟知していることを示しており、サイバー犯罪の国際化と組織化が推測されます。
RatOnが採用する心理的な操作手法も巧妙です。偽のランサムウェア画面で児童ポルノ閲覧を理由にデバイスをロックし、200ドルの支払いを要求する手法は、被害者に強い羞恥心と緊急性を植え付けることで冷静な判断を妨げる狙いがあります。この心理的プレッシャーが暗号通貨アプリの起動を促し、結果的にPINコードの窃取につながる設計になっています。
現在はチェコとスロバキアに限定されていますが、アメリカの銀行業界もこの脅威を警戒しています。特にMetaMaskやTrustなどの主要な暗号通貨ウォレットが標的となっていることから、グローバルな金融インフラへの波及は時間の問題と考えられます。
技術的な観点では、RatOnが三段階の感染プロセスを採用している点が特徴的です。初期のドロッパーから最終的なNFSkateマルウェアまで段階的に展開することで、セキュリティソフトによる検出を回避しながら、必要な権限を順次取得していく仕組みです。
この事例は、モバイル決済の普及とサイバー犯罪の高度化が同時進行していることを示しています。NFCを活用したキャッシュレス決済が日常化する中で、その利便性を悪用する新たな脅威が登場したことは、テクノロジーの進歩には常にリスクが伴うことを改めて実証しています。
【用語解説】
NFC中継攻撃(NFC Relay Attack)
Near Field Communicationの通信を悪意のある第三者が中継する攻撃手法。攻撃者は被害者のデバイスと決済端末の間に立ち、本来の所有者が意図しない決済を実行する。
ATS(Automated Transfer System / 自動転送システム)
銀行アプリケーションの機能を悪用して、自動的に送金処理を実行するシステム。被害者の同意なしに口座から資金を移動させることが可能。
オーバーレイ攻撃(Overlay Attack)
正規のアプリケーション画面の上に偽の画面を重ね、ユーザーに本物と錯覚させてログイン情報やPINコードを窃取する攻撃手法。
Ghost Tap技術
NFSkateマルウェアが使用するNFC中継攻撃の技術名。スマートフォンのNFC機能を悪用して、カード情報の中継を行う。
ドロッパーアプリ
実際のマルウェア本体を配信するためのアプリケーション。一見無害に見える形で配布され、デバイスにインストール後に悪意のあるペイロードをダウンロードする。
シードフレーズ
暗号通貨ウォレットのバックアップおよび復元に使用される12-24個の英単語の組み合わせ。この情報があれば第三者でもウォレットにアクセス可能。
【参考リンク】
ThreatFabric(外部)
RatOnマルウェア発見の報告元。金融機関向けの脅威インテリジェンスと詐欺防止ソリューションを提供するオランダのセキュリティ企業
MetaMask(外部)
Ethereumベースの暗号通貨ウォレット。Web3アプリケーションとの接続が可能なブラウザ拡張機能
Trust Wallet(外部)
マルチチェーン対応の自己管理型暗号通貨ウォレット。100以上のブロックチェーンをサポート
Blockchain.com(外部)
2011年から運営される老舗の暗号通貨金融サービス企業。世界初のビットコインブロックチェーンエクスプローラーから発展
Phantom Wallet(外部)
主にSolanaブロックチェーンに対応した暗号通貨ウォレット。現在はEthereum、Bitcoin、PolygonもサポートするDeFi対応ウォレット
George Labs(外部)
Erste Groupが開発したヨーロッパの銀行向けデジタルバンキングプラットフォーム。
【参考記事】
New Android banking trojan RatOn threatens U.S. banks(外部)
アメリカの銀行業界視点からのRatOn脅威分析記事。現在はチェコとスロバキア限定だが、米国への波及を警戒
RatOn Hijacks Bank Account to Launch Automated Money Transfers(外部)
George Českóアプリを標的とした自動送金機能に焦点。ATS機能の仕組みと現地マネーミュール協力の可能性を分析
The Rise of RatOn: From NFC heists to remote control and ATS(外部)
ThreatFabric公式ブログによるRatOnの進化過程解説。NFCから始まりRAT機能まで発展した技術的詳細を詳述
New RatOn Android Malware Targets Banking Apps and Crypto Wallets Via NFC Attacks(外部)
RatOnの暗号通貨ウォレット攻撃手法とNFC中継攻撃の統合について詳細分析。MetaMaskなどの標的化戦略を解説
【編集部後記】
この記事を読んで、皆さんのスマートフォンが単なる通信機器ではなく、金融情報の宝庫であることを改めて実感されたのではないでしょうか。暗号通貨ウォレットを使う身からすれば、RatOnのような高度化するマルウェアの存在は他人事ではありません。
特にNFC決済が当たり前になった今、私たちの生活に欠かせない技術がどのように悪用されうるのか、そしてどう身を守れるのか、一緒に考えてみませんか。Android端末のセキュリティパッチは最新ですか?Google Play Protectは有効になっていますか?ぜひSNSで皆さんの対策を教えてください。
