RatOn, Malware Android yang Mampu Curi Uang dan Data Kripto

Dunia keamanan siber kembali diguncang dengan ditemukannya malware Android baru bernama RatOn. Berbeda dengan malware Android biasa, RatOn memiliki kemampuan yang jauh lebih canggih karena mampu menggabungkan teknik serangan NFC relay, overlay palsu, hingga penipuan perbankan otomatis (Automated Transfer System/ATS). Evolusi cepat malware ini membuatnya menjadi salah satu ancaman paling berbahaya di tahun 2025.

 
Dari Alat Sederhana Jadi Trojan Canggih

Pada awalnya, RatOn hanya berupa alat sederhana untuk melakukan serangan Near Field Communication (NFC) relay, yakni teknik yang memungkinkan penjahat siber melakukan transaksi pembayaran jarak jauh dengan menyalahgunakan perangkat korban. Namun dalam waktu singkat, RatOn berkembang menjadi remote access trojan (RAT) lengkap dengan fitur ATS.

Menurut laporan perusahaan keamanan mobile asal Belanda, ThreatFabric:

“RatOn menggabungkan serangan overlay tradisional dengan transfer uang otomatis dan fungsi NFC relay – menjadikannya ancaman yang sangat berbahaya.”
 

Target: Dompet Kripto dan Aplikasi Bank

RatOn dirancang untuk mengambil alih akun keuangan korban. Malware ini menargetkan aplikasi dompet kripto populer seperti MetaMask, Trust, Blockchain.com, hingga Phantom. Selain itu, ia juga menyalahgunakan aplikasi bank George Česko yang banyak digunakan di Republik Ceko.

Melalui ATS, RatOn bisa melakukan transfer uang otomatis tanpa perlu interaksi korban. Tak berhenti di situ, malware ini juga mampu menampilkan overlay palsu yang mirip ransomware, mengunci perangkat, dan menampilkan pesan pemerasan. Teknik ini mengingatkan pada varian malware Android HOOK yang sempat heboh tahun lalu.

 
Perkembangan dan Cara Penyebaran

Berdasarkan catatan ThreatFabric, RatOn pertama kali terdeteksi di dunia nyata pada 5 Juli 2025, dan sampel baru terus bermunculan hingga 29 Agustus 2025. Hal ini membuktikan bahwa pengembang RatOn masih aktif melakukan pengembangan.

Cara penyebarannya cukup licik. Para pelaku menggunakan laman palsu mirip Google Play Store yang menawarkan aplikasi tiruan TikTok 18+. Aplikasi ini sebenarnya hanyalah dropper, yakni aplikasi pembawa malware.

Begitu diinstal, aplikasi palsu ini akan meminta izin instalasi dari sumber pihak ketiga, melewati sistem keamanan Google, lalu meminta akses tingkat lanjut seperti:

• Administrator perangkat
• Layanan aksesibilitas Android
• Izin membaca/menulis kontak
• Izin mengubah pengaturan sistem

Jika izin ini diberikan, malware dapat beroperasi penuh di perangkat korban.

 
Integrasi dengan Malware NFSkate

Pada tahap lanjut, RatOn mengunduh malware lain bernama NFSkate (alias NGate), yang merupakan varian dari alat riset sah NFCGate. Malware ini mampu melakukan serangan NFC relay dengan teknik bernama Ghost Tap.

Teknik Ghost Tap memungkinkan penyerang melakukan transaksi pembayaran jarak jauh seolah-olah menggunakan perangkat asli korban. ESET sendiri sudah mendokumentasikan malware keluarga ini sejak Agustus 2024.

 
Modus Pemerasan: Tuduhan Palsu dan Uang Tebusan

Selain mencuri data, RatOn juga melakukan modus pemerasan psikologis. Malware ini menampilkan overlay palsu yang menuduh korban menyimpan dan menyebarkan konten pornografi anak.

Korban kemudian diminta membayar 200 dolar dalam bentuk kripto agar perangkat dapat dibuka dalam waktu dua jam. Tujuannya jelas: membuat korban panik agar segera membuka salah satu aplikasi kripto yang ditargetkan. Pada momen inilah RatOn mencuri PIN perangkat dan mengambil alih akun.

ThreatFabric menjelaskan:

“Dengan perintah tertentu, RatOn dapat membuka aplikasi dompet kripto, membukanya dengan PIN curian, menekan elemen antarmuka yang terkait dengan pengaturan keamanan, dan akhirnya mengungkap frasa rahasia (seed phrase).”

Data sensitif seperti seed phrase direkam melalui keylogger dan dikirim ke server pelaku. Dengan data ini, pelaku dapat mengakses penuh dompet kripto korban dan mencuri aset digital mereka.

 
Perintah Berbahaya yang Bisa Dilakukan RatOn

RatOn dilengkapi dengan berbagai perintah jarak jauh yang memungkinkan pelaku melakukan hampir apa saja pada perangkat korban, antara lain:

• send_push → mengirim notifikasi palsu
• screen_lock → mengubah kunci layar
• app_inject → mengganti daftar aplikasi keuangan target
• send_sms→ mengirim SMS lewat aksesibilitas
• transfer → melakukan transfer otomatis lewat aplikasi bank George Česko
• nfs → mengunduh dan menjalankan NFSkate APK
• record → merekam layar
• lock → mengunci perangkat korban

Dengan daftar perintah ini, RatOn tak hanya berperan sebagai pencuri data, tetapi juga sebagai alat kendali penuh perangkat.

 
Target Serangan: Eropa Tengah Jadi Fokus Utama

Menurut ThreatFabric, target utama RatOn saat ini adalah Republik Ceko, dengan kemungkinan meluas ke Slovakia. Alasan utamanya adalah sistem transfer otomatis (ATS) yang membutuhkan nomor rekening bank lokal. Besar kemungkinan pelaku bekerja sama dengan jaringan money mule di kawasan tersebut untuk mencairkan hasil curian.

Meski saat ini masih terfokus di Eropa Tengah, para pakar keamanan memperingatkan bahwa evolusi RatOn bisa menyebar ke negara lain, termasuk Asia. Mengingat maraknya penggunaan aplikasi mobile banking dan dompet kripto, peluang malware ini menyebar ke wilayah dengan ekosistem finansial digital kuat sangat besar.

 
Waspada Malware dengan Teknik Baru

Kasus RatOn menunjukkan bahwa malware Android terus berevolusi menjadi lebih kompleks. Gabungan ATS, NFC relay, overlay palsu, hingga pemerasan psikologis menjadikan RatOn ancaman yang sulit dihadapi.

Bagi pengguna, beberapa langkah pencegahan yang bisa dilakukan antara lain:

• Jangan instal aplikasi dari luar Google Play Store.
• Waspadai izin berlebihan yang diminta aplikasi.
• Gunakan solusi keamanan mobile untuk deteksi dini.
• Aktifkan verifikasi dua faktor (2FA) di aplikasi keuangan.
• Rutin perbarui sistem dan aplikasi untuk menutup celah keamanan.

Jika tren ini berlanjut, kemungkinan besar RatOn hanya awal dari gelombang baru malware Android dengan kemampuan lebih kompleks dan berbahaya. Dunia keamanan siber harus bersiap menghadapi ancaman yang semakin nyata.