Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Troyano bancario Malware para Android RatOn

Malware para Android RatOn

Por Favila en Troyano bancario, Malware móvil
Traducir a:

Un nuevo malware para Android llamado RatOn ha evolucionado rápidamente desde una simple herramienta de retransmisión de Comunicación de Campo Cercano (NFC) hasta convertirse en un sofisticado troyano de acceso remoto (RAT). Con su funcionalidad de Sistema de Transferencia Automatizada (ATS), módulos de ataque superpuestos y características similares a las del ransomware, RatOn se perfila como una de las amenazas más versátiles dirigidas a dispositivos móviles.

Una combinación única de vectores de ataque

RatOn se destaca porque fusiona múltiples técnicas maliciosas en un solo marco:

  • Ataques de superposición para robar credenciales.
  • Transferencias automatizadas de dinero (ATS) para vaciar cuentas bancarias.
  • Capacidades de retransmisión NFC a través de la técnica Ghost Tap.

Esta combinación hace que RatOn sea muy peligroso en comparación con los típicos troyanos bancarios de Android.

Objetivos: Aplicaciones bancarias y de criptomonedas

El malware está diseñado con funciones de robo de cuentas que atacan específicamente a aplicaciones de monederos de criptomonedas como MetaMask, Trust, Blockchain.com y Phantom. También explota George Česko, una aplicación bancaria popular en la República Checa, para automatizar transferencias fraudulentas.

Además del robo financiero, RatOn puede bloquear dispositivos y desplegar pantallas falsas de rescate. Estas superposiciones imitan mensajes de extorsión, acusando a las víctimas de ver o distribuir contenido ilegal y exigiendo un pago de $200 en criptomonedas en dos horas. Estas tácticas de coerción no solo presionan a los usuarios, sino que también crean oportunidades para que los atacantes capturen códigos PIN y vulneren directamente las aplicaciones de billetera.

Tácticas de desarrollo activo y difusión

La primera muestra de RatOn apareció el 5 de julio de 2025, y se observaron versiones adicionales hasta el 29 de agosto de 2025, lo que indica que su desarrollo continúa. La distribución se basa en anuncios falsos de Google Play Store que suplantan una versión para adultos de TikTok (TikTok 18+). Estas aplicaciones instalan cargas maliciosas mientras solicitan permisos para eludir las medidas de accesibilidad de Google.

Tras la instalación, RatOn aumenta los privilegios solicitando permisos de administración del dispositivo, servicios de accesibilidad y acceso a contactos y configuración del sistema. A continuación, obtiene componentes de malware adicionales, incluido el malware NFSkate, previamente documentado, que gestiona ataques de retransmisión NFC.

Capacidades avanzadas de adquisición de cuentas

RatOn demuestra un profundo conocimiento de sus objetivos. Una vez activo, puede:

  • Inicie aplicaciones de criptomonedas y desbloquéelas usando PIN robados.
  • Interactúe con la configuración de seguridad de la aplicación.
  • Extraer frases de recuperación secretas.

Estos datos se registran mediante un keylogger integrado y se envían a servidores controlados por el atacante, lo que permite un control total sobre las billeteras de criptomonedas comprometidas. Cabe destacar que el código base de RatOn no muestra solapamiento con otras familias de malware bancario para Android, lo que sugiere que fue desarrollado desde cero.

Comandos y operaciones compatibles

RatOn admite una amplia gama de comandos que permiten a los atacantes manipular ampliamente los dispositivos infectados. Algunos de los más destacados incluyen:

  • send_push – enviar notificaciones push falsas
  • app_inject – modificar la lista de aplicaciones objetivo
  • transferencia – ejecutar fraude ATS a través de George Česko
  • nfs – descargar y ejecutar el malware NFSkate
  • screen_lock – modificar el tiempo de espera de bloqueo del dispositivo
  • bloquear – bloquear el dispositivo de forma remota
  • grabar/mostrar – controlar sesiones de transmisión de pantalla
  • send_sms – envía mensajes SMS a través de servicios de accesibilidad
  • add_contact – crear nuevos contactos
  • update_device – extrae huellas dactilares del dispositivo y listas de aplicaciones instaladas

Enfoque regional y estrategia contra actores amenazantes

Los investigadores señalan que la actividad de RatOn se concentra actualmente en la República Checa, y es probable que Eslovaquia sea el próximo objetivo. La decisión de centrarse en una única aplicación bancaria regional aún no está clara. Sin embargo, las transferencias automatizadas que requieren números de cuenta locales sugieren cooperación con redes locales de mulas de dinero.

Tendencias

Mas Visto

Cargando...