Un nuevo malware para Android llamado RatOn ha evolucionado de una herramienta básica de ataque de retransmisión NFC, (Comunicación de campo cercano), a un sofisticado troyano de acceso remoto con capacidades de sistema de transferencia automatizada (ATS) para cometer fraude en dispositivos.
"RatOn combina los ataques tradicionales de superposición con transferencias automáticas de dinero y la funcionalidad de retransmisión NFC, lo que lo convierte en una amenaza excepcionalmente potente", afirmó la empresa holandesa de seguridad móvil ThreatFabric en un informe.
Este troyano bancario está equipado con funciones de apropiación de cuentas que atacan aplicaciones de criptomonedas como MetaMask, Trust, Blockchain.com y Phantom. También puede realizar transferencias automáticas de dinero a través de George Česko, una aplicación bancaria popular en la República Checa. Además, RatOn puede llevar a cabo ataques similares a los de ransomware mediante páginas superpuestas personalizadas y bloqueo de dispositivos, lo que lo convierte en un malware para Android muy versátil. Cabe destacar que una variante del troyano HOOK para Android también ha incorporado pantallas similares a ransomware para mostrar mensajes de extorsión.
Podrías leer también esto: Transformación Digital en la Banca: El Rol de Database Observability
La primera muestra que distribuía RatOn se detectó el 5 de julio de 2025, y se encontraron más artefactos el 29 de agosto de 2025, lo que demuestra que los atacantes continúan trabajando activamente en su desarrollo.
RatOn ha utilizado páginas falsas de la Play Store, haciéndose pasar por una versión de TikTok para adultos (TikTok 18+), para alojar sus aplicaciones maliciosas. Aunque no está claro cómo los usuarios son atraídos a estos sitios, la actividad ha afectado principalmente a usuarios de habla checa y eslovaca.
Una vez instalada, la aplicación "dropper" solicita al usuario permiso para instalar aplicaciones de fuentes de terceros, lo que le permite eludir las medidas de seguridad de Google. La carga útil de la segunda etapa procede a pedir permisos de administración, accesibilidad, lectura/escritura de contactos y gestión de configuraciones del sistema para ejecutar su funcionalidad maliciosa. Esto incluye conceder permisos adicionales y descargar un malware para Android de tercera etapa, que no es más que NFSkate (también conocido como NGate), una variante de una herramienta de investigación legítima llamada NFCGate. Esta herramienta realiza ataques de retransmisión NFC mediante una técnica llamada Ghost Tap, una familia de malware documentada por ESET en agosto de 2024.
"Las funciones de robo de cuentas y transferencias automatizadas han demostrado que el actor de la amenaza conoce muy bien el funcionamiento interno de las aplicaciones atacadas", afirmó ThreatFabric. La compañía describió el malware como desarrollado desde cero, sin similitudes de código con otro malware para Android bancario.
Lee esto: Crocodilus: El malware Bancario que se expande Globalmente
Y eso no es todo. RatOn también puede mostrar pantallas superpuestas que simulan una nota de rescate. Afirma que los teléfonos de los usuarios han sido bloqueados por ver y distribuir pornografía infantil y que deben pagar $200 en criptomonedas en dos horas para recuperar el acceso. Se sospecha que estas notas buscan generar una falsa sensación de urgencia y obligar a la víctima a abrir una de las aplicaciones de criptomonedas objetivo y completar la transacción. Así, los atacantes capturan el PIN del dispositivo y lo usan para secuestrar cuentas sin el conocimiento de los usuarios.
"Al recibir la orden correspondiente, RatOn puede iniciar la aplicación de billetera de criptomonedas, desbloquearla con el PIN robado, hacer clic en elementos de la interfaz relacionados con la seguridad de la aplicación y, finalmente, revelar frases secretas", explicó ThreatFabric, detallando las funciones de robo de cuentas.
Los datos confidenciales se registran por un "keylogger" y se envían a un servidor externo controlado por los atacantes. Estos utilizan las frases secretas para obtener acceso no autorizado a las cuentas de las víctimas y robar activos.
A continuación, algunos comandos que procesa RatOn:
send_push: Para enviar notificaciones push falsas.
screen_lock: Para cambiar el tiempo de espera de la pantalla de bloqueo.
WhatsApp: Para iniciar WhatsApp.
app_inject: Para cambiar la lista de aplicaciones financieras específicas.
update_device: Para enviar una lista de aplicaciones instaladas.
send_sms: Para enviar un mensaje SMS usando servicios de accesibilidad.
Facebook: Para iniciar Facebook.
nfs: Para descargar y ejecutar el malware NFSkate APK.
transferir: Para realizar ATS usando George Česko.
bloquear: Para bloquear el dispositivo usando el acceso de administración.
add_contact: Para crear un nuevo contacto.
grabar: Para iniciar una sesión de transmisión de pantalla.
pantalla: Para activar o desactivar la transmisión de pantalla.
En el complejo panorama actual de ciberataques, donde amenazas como RatOn demuestran una sofisticación creciente, la protección de tu organización se vuelve indispensable. En E-dea, somos conscientes de estos desafíos y estamos preparados para ofrecerte soluciones de ciberseguridad robustas y adaptadas a tus necesidades.
Con nuestra experiencia, podemos implementar defensas proactivas que van más allá del simple bloqueo, ayudándote a proteger tus activos digitales, asegurar las transacciones de tus clientes y mitigar riesgos antes de que se conviertan en pérdidas. Nuestro compromiso es brindarte la tranquilidad de saber que tu infraestructura está en manos de expertos.
