Ciberseguridad - Insights, Ciberseguridad - Noticias, Noticias, Noticias - Insights

RatOn: El nuevo malware para Android con capacidades de fraude bancario y ataques NFC

Posted on by Karmina Clemente
09
Sep

Un nuevo malware para Android llamado RatOn ha evolucionado rápidamente: pasó de ser una herramienta básica capaz de ejecutar ataques de relay NFC a convertirse en un troyano de acceso remoto (RAT) con funciones de sistema de transferencias automáticas (ATS), lo que lo convierte en una amenaza seria para la seguridad financiera.

De acuerdo con un informe publicado por una firma de seguridad móvil en los Países Bajos, RatOn combina ataques de superposición (overlay), transferencias automáticas de dinero y funciones de relay NFC, lo que lo hace especialmente versátil y peligroso dentro del ecosistema de malware bancario.

Ataques a apps bancarias y de criptomonedas

RatOn cuenta con funciones avanzadas de toma de control de cuentas dirigidas a aplicaciones de criptomonedas como MetaMask, Trust Wallet, Blockchain.com y Phantom. Además, puede ejecutar transferencias automáticas de dinero abusando de la aplicación bancaria George Česko, utilizada en la República Checa.

El malware también puede simular ataques de tipo ransomware, bloqueando dispositivos mediante pantallas falsas de extorsión para presionar a las víctimas. Este tipo de técnicas ya se han visto en otros troyanos, como HOOK para Android.

Desarrollo y distribución activa

El primer caso de RatOn se detectó el 5 de julio de 2025, y se han identificado nuevas variantes tan recientes como el 29 de agosto de 2025, lo que demuestra un desarrollo activo y constante por parte de los atacantes.

RatOn se distribuye a través de apps falsas en la Play Store, presentadas como una versión “TikTok 18+”. La campaña ha apuntado principalmente a usuarios de habla checa y eslovaca.

Una vez instalada, la app solicita permisos para:

  • Instalar aplicaciones de terceros
  • Acceder como administrador del dispositivo
  • Usar los servicios de accesibilidad
  • Leer y modificar contactos y configuraciones del sistema

Posteriormente, descarga el malware NFSkate, especializado en ejecutar ataques NFC relay mediante la técnica Ghost Tap, ya documentada en 2024.

Técnicas avanzadas de fraude

Lo que hace a RatOn especialmente peligroso es su integración profunda con aplicaciones financieras específicas. Según ThreatFabric, el malware fue desarrollado desde cero, sin compartir código con otros troyanos conocidos.

Entre sus capacidades destacan:

  • Mostrar pantallas falsas de extorsión acusando a la víctima de delitos graves y exigiendo un pago en criptomonedas (200 USD) en menos de dos horas.
  • Forzar la apertura de aplicaciones de criptomonedas y usar PINs robados para:
    • Acceder a las carteras digitales
    • Extraer frases semilla de recuperación
    • Modificar configuraciones de seguridad
  • Registrar pulsaciones de teclas (keylogging) y enviar la información a servidores externos controlados por los atacantes.

Con estos datos, los operadores pueden robar directamente los fondos en criptomonedas de las víctimas.

Capacidades de control remoto

RatOn funciona como un RAT completo, capaz de ejecutar una amplia gama de comandos, como:

  • send_push – enviar notificaciones falsas
  • transfer – realizar transferencias automáticas (ATS)
  • nfs – descargar y ejecutar NFSkate
  • record – iniciar grabaciones de pantalla
  • send_sms – enviar SMS con servicios de accesibilidad
  • screen_lock – modificar la configuración del bloqueo de pantalla
  • Interactuar con apps como WhatsApp y Facebook
  • Bloquear remotamente el dispositivo o crear nuevos contactos

Enfoque geográfico

Hasta ahora, RatOn se ha concentrado en atacar a usuarios en la República Checa, aunque se espera que Eslovaquia sea su próximo objetivo. Los investigadores sugieren que los operadores podrían estar colaborando con mulas locales de dinero, ya que las transferencias automáticas requieren cuentas bancarias domésticas para completarse.

Conclusión

El caso de RatOn muestra cómo los malwares móviles bancarios continúan evolucionando, combinando técnicas clásicas de ataque con mecanismos automatizados de fraude financiero.

Para mitigar riesgos, es fundamental que tanto usuarios como organizaciones:

  • Descarguen aplicaciones solo desde fuentes oficiales.
  • Revisen cuidadosamente los permisos concedidos a las apps.
  • Implementen soluciones avanzadas de seguridad en dispositivos móviles.

RatOn es un recordatorio claro de cómo los actores de amenazas siguen innovando para maximizar sus ganancias, apuntando cada vez más al sector bancario y de criptomonedas.

Fuente: https://thehackernews.com/2025/09/raton-android-malware-detected-with-nfc.html

Karmina Clemente