RatOn : le nouveau cheval de Troie Android qui inquiète les experts
Google AndroidADN
Avec des capacités d’overlay et de virements automatisés, RatOn dépasse tout ce qu’on connaissait jusqu’ici en matière de malware sur Android.
Tl;dr
- Un nouveau cheval de Troie Android, RatOn, a été créé de zéro et se propage via des applications hébergées sur des sites à contenu adulte.
- Il utilise des autorisations avancées pour intercepter des identifiants, simuler des ransomwares et automatiser des virements bancaires à distance.
- Pour se protéger, il est crucial d’installer uniquement depuis les boutiques officielles, d’activer Google Play Protect et de rester vigilant face aux liens suspects.
Une menace inédite pour les utilisateurs Android
L’univers des malwares bancaires sur Android évolue sans relâche, mais rarement une nouvelle menace s’écarte autant des codes habituels. Repéré récemment par les chercheurs de Threat Fabric, un nouveau cheval de Troie baptisé RatOn inquiète les experts, car il semble avoir été développé intégralement à partir de rien, sans reprendre le moindre fragment de code existant.
Un mode opératoire sophistiqué et inédit
Ce qui frappe tout d’abord avec RatOn, c’est son mode opératoire bien plus élaboré que la moyenne. Découvert lors d’une analyse liée au malware NFSkate, spécialisé dans le vol d’informations via la technologie NFC, RatOn se distingue par sa présence non pas dans une seule application, mais dans plusieurs, orchestrées à travers une véritable campagne. Pour piéger leurs victimes, les cybercriminels misent sur des sites à thématique adulte — intégrant souvent « TikTok18+ » dans l’URL — afin d’inciter au téléchargement d’applis malicieuses en dehors des boutiques officielles. Difficile toutefois de savoir comment ils attirent exactement leurs cibles sur ces pages ; historiquement, on a pu observer l’utilisation de courriels frauduleux, messages privés sur les réseaux sociaux ou encore fausses publicités.
Une fois l’application installée, un mécanisme bien huilé s’enclenche :
- L’utilisateur est incité à autoriser l’installation depuis « sources inconnues », contournant ainsi la protection native d’Android.
- Des accès critiques comme les services d’accessibilité et le statut « administrateur » du téléphone sont ensuite sollicités.
- Le malware peut alors lancer des attaques par superposition (overlay) pour intercepter vos identifiants bancaires ou simuler une attaque ransomware afin d’extorquer de l’argent.
Parmi ses capacités redoutables : l’automatisation des virements bancaires. Grâce aux permissions élargies et à l’exploitation poussée des services d’accessibilité, RatOn peut vider à distance les comptes financiers associés au téléphone compromis. Contrairement à certains malwares NFC nécessitant une proximité physique pour voler des données sans contact, cette menace opère entièrement à distance.
Sécurité : vigilance et bonnes pratiques essentielles
Pour l’heure, seuls les utilisateurs Android en République tchèque semblent visés. Mais rien n’indique que la propagation de ce malware restera cantonnée à cette région : on sait combien ces campagnes peuvent évoluer rapidement vers d’autres territoires.
Alors que faire ? Quelques réflexes restent incontournables pour limiter considérablement le risque :
- Bannir toute installation hors des boutiques officielles.
- Activer et surveiller régulièrement Google Play Protect.
- Limiter le nombre d’applications installées et supprimer celles inutilisées.
- Ne jamais cliquer sur des liens suspects reçus par mail ou réseaux sociaux.
Dans un contexte où la créativité malveillante ne cesse de surprendre — et même parfois de déstabiliser les professionnels aguerris — cultiver une hygiène numérique rigoureuse demeure le meilleur rempart contre ces nouvelles formes d’attaques sophistiquées.