Un nuevo malware para Android llamado RatOn ha evolucionado desde una herramienta básica capaz de realizar ataques de retransmisión Near Field Communication (NFC) a un sofisticado troyano de acceso remoto con capacidades de Sistema de Transferencia Automatizada (ATS) para cometer fraude de dispositivos.

RatOn fusiona los ataques de superposición tradicionales con transferencias automáticas de dinero y funcionalidad de retransmisión NFC, lo que la convierte en una amenaza excepcionalmente poderosa. El troyano bancario viene equipado con funciones de apropiación de cuentas dirigidas a aplicaciones de billetera de criptomonedas como MetaMask, Trust, Blockchain.com y Phantom, al mismo tiempo que es capaz de realizar transferencias automáticas de dinero abusando de George Česko, una aplicación bancaria utilizada en la República Checa.

Además, puede realizar ataques de tipo ransomware utilizando páginas de superposición personalizadas y bloqueo de dispositivos. Un ejemplo de distribución de RatOn fue detectado el 5 de julio de 2025, y artefactos más recientes se descubrieron el 29 de agosto de 2025, lo que indica un trabajo de desarrollo activo por parte de los operadores. RatOn ha aprovechado páginas de listado falsas de Play Store que se hacen pasar por una versión para adultos de TikTok (TikTok 18+) para alojar aplicaciones dropper maliciosas que entregan el troyano. Actualmente no está claro cómo se atrae a los usuarios a estos sitios, pero la actividad ha señalado a usuarios de habla checa y eslovaca.

Una vez que la aplicación dropper está instalada, solicita permiso al usuario para instalar aplicaciones de fuentes de terceros con el fin de evitar las medidas de seguridad críticas impuestas por Google para evitar el abuso de los servicios de accesibilidad de Android. El malware también puede mostrar pantallas de superposición que se asemejan a una nota de rescate, alegando que los teléfonos de los usuarios han sido bloqueados por ver y distribuir pornografía infantil y que deben pagar $200 en criptomonedas para recuperar el acceso en dos horas.

Se sospecha que las notas de rescate están diseñadas para inducir una falsa sensación de urgencia y obligar a la víctima a abrir una de las aplicaciones de criptomonedas objetivo y completar la transacción, lo que permite a los atacantes capturar el código PIN del dispositivo en el proceso y usarlo para secuestrar las cuentas sin el conocimiento de los usuarios.

RatOn puede iniciar la aplicación de billetera de criptomonedas objetivo, desbloquearla usando el código PIN robado, hacer clic en los elementos de la interfaz que están relacionados con la configuración de seguridad de la aplicación y, en el paso final, revelar frases secretas. Los datos confidenciales son posteriormente registrados por un componente keylogger y filtrados a un servidor externo bajo el control de los actores de amenazas, quienes luego pueden usar las frases de semilla para obtener acceso no autorizado a las cuentas de las víctimas y robar activos de criptomonedas.

El grupo de actores de amenazas inicialmente se dirigió a la República Checa, y es probable que Eslovaquia sea el próximo país en el que se centren. La razón detrás de la concentración en una sola aplicación bancaria sigue sin estar clara. Sin embargo, el hecho de que las transferencias automatizadas requieran números de cuenta bancaria locales sugiere que los actores de amenazas pueden estar colaborando con mulas de dinero locales.

Fuente original: Ver aquí