【ITニュース解説】RatOn Android Malware Detected With NFC Relay and ATS Banking Fraud Capabilities

Androidスマートフォンを標的とする新たなマルウェア「RatOn」が発見された。このマルウェアは、当初は比較的単純な機能しか持たなかったが、現在では複数の高度な攻撃手法を組み合わせた、極めて危険な存在へと進化している。特に、オンラインバンキングの認証情報を盗み取るだけでなく、スマートフォンの非接触決済機能までも悪用する能力を持つ点で、従来のマルウェアとは一線を画す脅威となっている。

RatOnの正体は、リモートアクセス型トロイの木馬（RAT: Remote Access Trojan）に分類される。トロイの木馬とは、一見すると無害なアプリケーションやツールを装ってユーザーのデバイスに侵入し、内部から悪意のある活動を行うマルウェアの一種である。中でもRATは、攻撃者がインターネット経由で感染したデバイスを遠隔から自由に操作できる権限を奪取する。これにより、攻撃者はスマートフォンのカメラやマイクを起動したり、保存されているファイルにアクセスしたり、メッセージを盗み見たりと、持ち主になりすましてあらゆる操作を実行できるようになる。RatOnもこのRATとしての性質を持つため、感染したスマートフォンは完全に攻撃者の支配下に置かれることになる。

RatOnが特に危険視される理由は、主に三つの強力な攻撃機能を統合している点にある。一つ目は「NFCリレー攻撃」である。NFC（Near Field Communication）は、スマートフォンを専用の端末にかざすだけで決済やデータ通信ができる近距離無線通信技術で、いわゆる「スマホ決済」で広く利用されている。NFCリレー攻撃とは、この通信を不正に中継する手口だ。例えば、ユーザーが攻撃者の仕掛けた偽の決済端末にスマートフォンをかざすと、RatOnはそのNFC通信を傍受し、インターネット経由で遠隔地にいる攻撃者のデバイスに転送する。攻撃者はその転送された情報を使い、別の場所にある正規の決済端末で不正に支払いを完了させてしまう。ユーザーは正常に決済ができたように見えるが、実際にはその取引が攻撃者によって悪用されているという巧妙な詐欺である。

二つ目は「オーバーレイ攻撃」だ。これは、正規のアプリケーション画面の上に、本物そっくりの偽の入力画面を重ねて表示する古典的だが非常に効果的な攻撃手法である。例えば、ユーザーが銀行の公式アプリを起動すると、RatOnがそれを検知し、IDやパスワード、暗証番号の入力を求める偽のウィンドウを画面の最前面に表示する。ユーザーが偽物とは気づかずに入力した認証情報はすべて攻撃者に送信されてしまう。この手口により、攻撃者はオンラインバンキングへの不正ログインに必要な情報を容易に窃取することが可能となる。

そして三つ目の機能が「自動送金システム（ATS: Automated Transfer System）」である。これは、オーバーレイ攻撃などで盗み取った認証情報や、RAT機能で得たスマートフォンの操作権限を悪用し、ユーザーに気づかれることなく銀行アプリなどを自動で操作して、攻撃者が管理する口座へ不正に送金を実行する仕組みだ。RatOnは、一連の送金操作をバックグラウンドで実行したり、銀行から送られてくる取引完了の通知メッセージをブロックしたりすることで、犯行が発覚するのを遅らせる機能も備えている。これにより、ユーザーが被害に気づいたときには、すでに口座から多額の資金が引き出されてしまっているという事態を引き起こす。

RatOnの真の恐ろしさは、これらNFCリレー攻撃、オーバーレイ攻撃、そして自動送金システムという、それぞれが独立しても強力な攻撃手法を一つに融合させている点にある。従来のバンキングマルウェアの多くは、オンライン上の口座情報を狙うことに特化していた。しかしRatOnは、それに加えてNFCという物理的な決済手段までも攻撃対象に含めることで、攻撃の範囲を大幅に広げている。つまり、オンラインバンキングの認証情報を盗んで不正送金を行うだけでなく、非接触決済を利用して直接商品を購入したり、金銭を引き出したりすることも可能になる。このように、デジタルとフィジカルの両面から金銭を窃取する能力を持つRatOnは、ユーザーにとって極めて深刻な脅威であると言える。システム開発に携わる者は、アプリケーションが要求する権限を最小限に留める設計や、不審な画面表示を検知する仕組み、サーバー側での異常取引検知など、多層的な防御策を講じることが、こうした進化し続ける脅威に対抗する上で不可欠となるだろう。