Détecté pour la première fois le 5 juillet 2025 puis à nouveau le 29 août 2025, RatOn est construit de zéro et combine plusieurs techniques connues de la fraude mobile.
Derrière un appât comme un faux site “TikTok 18+”, il déploie un dropper, obtient des permissions sensibles (installation depuis sources inconnues, services d’accessibilité, administration) et se dote des moyens d’automatiser des actions à l’écran.
Il sait viser des applis crypto (MetaMask, Trust, Blockchain.com, Phantom) et peut afficher un faux écran de « rançon » pour pousser l’utilisateur à ouvrir ses apps financières.
Ce que fait RatOn (et pourquoi c’est inédit)
RatOn fusionne trois vecteurs habituellement séparés : superpositions pour voler identifiants, transferts automatisés (ATS) et relais NFC.
Concrètement, il lance l’app bancaire de la victime, clique pas à pas sur l’interface, ajuste si besoin les plafonds et valide le paiement avec un code PIN dérobé.
Il peut aussi servir des écrans façon “ransomware” — sans chiffrer — pour précipiter l’utilisateur dans l’erreur. Côté crypto, il ouvre le portefeuille, déverrouille, navigue vers les réglages et exfiltre phrases secrètes et données sensibles via enregistrement des frappes et capture d’écran, de quoi vider un wallet en silence.
Une infection en plusieurs étapes et un volet NFC industriel
Le leurre passe par des pages Play factices et des noms de domaine adultes “TikTok18+”.
Dès l’installation, l’appli demande les droits critiques et télécharge un second puis un troisième étage : NFSkate (dérivé de l’outil de recherche NFCGate), capable de relais NFC via la technique Ghost Tap.
Résultat : un attaquant peut “télésigner” un paiement sans contact à distance, pendant qu’un mule encaisse sur un terminal physique. Ce modèle permet des achats coordonnés (souvent cartes-cadeaux), multipliés avant détection par la banque.
Ciblage actuel, développement actif et risques d’extension
La campagne a démarré en Tchéquie et semble lorgner la Slovaquie, avec une focalisation sur l’app bancaire locale George Česko pour l’ATS.
Les dates (5 juillet, 29 août 2025) montrent un développement en cours, avec un arsenal de commandes (“send_push”, “nfs”, “transfer”, “lock”, “record”) pour guider l’appareil à distance. Au-delà du périmètre actuel, l’architecture overlay + ATS + NFC laisse craindre un portage vers d’autres applis bancaires ou marchés, notamment là où l’écosystème Android reste fragmenté.
Foire Aux Questions (FAQ)
Comment se protéger d’un trojan bancaire Android comme RatOn ?
Évitez le sideloading et privilégiez les stores officiels. Limitez le nombre d’apps, surveillez les permissions (accessibilité, administration), activez Play Protect et, si besoin, complétez par un antivirus réputé. Ne cliquez pas sur liens douteux (email, réseaux sociaux, pubs) et supprimez les apps inutilisées.
Mon téléphone affiche un écran de “rançon” : dois-je payer ?
Non. Ces écrans sont conçus pour vous stresser et vous pousser à ouvrir vos apps financières. Fermez l’app suspecte, ne renseignez aucun code, révoquez les droits d’accessibilité/administration accordés récemment, analysez l’appareil avec Play Protect/antivirus, et contactez votre banque et vos services crypto pour sécuriser comptes et phrases de récupération.
Pourquoi Android est-il particulièrement visé par ce type de menace ?
La diversité des appareils et versions, l’existence de stores tiers et la possibilité de charger des apps hors store offrent plus de surface d’attaque. Les trojans bancaires exploitent ces marges de manœuvre pour obtenir des permissions puissantes, automatiser des gestes à l’écran et détourner les parcours de paiement.
