Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias RatOn: el nuevo malware para Android que roba criptomonedas y realiza fraudes bancarios
Noticias

RatOn: el nuevo malware para Android que roba criptomonedas y realiza fraudes bancarios

por Dragora
Escrito por Dragora

El ecosistema de amenazas móviles está viviendo una evolución sin precedentes. En 2025, investigadores de seguridad detectaron un nuevo malware para Android bautizado como RatOn, que ha pasado de ser una herramienta limitada de ataques de retransmisión NFC (Near Field Communication) a convertirse en un troyano bancario de acceso remoto altamente sofisticado. Su principal capacidad: realizar fraudes de dispositivos mediante sistemas de transferencia automatizada (ATS), al mismo tiempo que integra técnicas de phishing, ransomware móvil y robo de criptomonedas.

RatOn: un troyano bancario multifuncional

Según la compañía de seguridad móvil ThreatFabric, RatOn combina varias características que lo convierten en una amenaza especialmente peligrosa para los usuarios de Android:

  • Ataques de superposición para robar credenciales.

  • Fraudes ATS para realizar transferencias de dinero automatizadas.

  • Ataques NFC mediante retransmisión con la técnica Ghost Tap.

  • Bloqueo de dispositivos y pantallas tipo ransomware para extorsionar a las víctimas.

El malware apunta de forma directa a aplicaciones bancarias y billeteras de criptomonedas como MetaMask, Trust, Blockchain.com y Phantom, además de explotar aplicaciones financieras locales como George Česko, utilizada en la República Checa.

Origen y distribución del malware RatOn

La primera muestra activa de RatOn se detectó el 5 de julio de 2025, y nuevas variantes aparecieron a finales de agosto, lo que confirma un desarrollo en curso por parte de sus operadores.

La campaña de distribución utiliza páginas falsas de Google Play Store que simulan aplicaciones populares, como una supuesta versión para adultos de TikTok (TikTok 18+). Una vez que los usuarios descargan la aplicación fraudulenta, esta actúa como dropper, solicitando permisos para instalar aplicaciones desde fuentes externas, lo que permite eludir las protecciones de seguridad de Android.

Posteriormente, RatOn despliega una carga útil secundaria que solicita permisos de accesibilidad, administración del dispositivo, lectura y escritura de contactos, así como modificación de la configuración del sistema. Con estos privilegios, se asegura un control casi total sobre el teléfono infectado.

Funcionalidades maliciosas avanzadas

RatOn no se limita a un único vector de ataque. Entre sus funciones más peligrosas, destacan:

  • Transferencias automáticas (ATS): el malware puede abrir una aplicación bancaria, desbloquearla con el PIN robado y ejecutar transacciones sin que la víctima lo perciba.

  • Superposición de aplicaciones: muestra falsas pantallas de inicio de sesión para capturar credenciales de bancos y billeteras.

  • Ataques NFC Ghost Tap: heredados de la familia de malware NFSkate, detectada en 2024, permiten retransmitir pagos sin contacto.

  • Extorsión tipo ransomware: presenta pantallas falsas que acusan al usuario de delitos graves (como posesión de pornografía infantil), exigiendo 200 dólares en criptomonedas para desbloquear el dispositivo.

  • Robo de frases semilla y PINs: accede a configuraciones internas de aplicaciones de criptomonedas para capturar frases secretas y claves privadas, filtrándolas a servidores controlados por atacantes.

Comandos soportados por RatOn

ThreatFabric documentó una lista de comandos remotos que RatOn puede ejecutar en los dispositivos comprometidos, lo que demuestra su versatilidad como herramienta de fraude y espionaje. Algunos de los más relevantes son:

  • 1
    send_push

    : generar notificaciones falsas.

  • 1
    screen_lock

    : modificar los parámetros de bloqueo de pantalla.

  • 1
    app_inject

    : inyectar superposiciones en aplicaciones financieras.

  • 1
    update_device

    : enviar la lista de apps instaladas y huella del dispositivo.

  • 1
    send_sms

    : enviar mensajes vía accesibilidad.

  • 1
    nfs

    : descargar y ejecutar NFSkate APK para ataques NFC.

  • 1
    transferencia

    : ejecutar ATS con George Česko.

  • 1
    grabar

    : iniciar una sesión de transmisión de pantalla en vivo.

  • 1
    bloquear

    : activar el bloqueo del dispositivo mediante privilegios de administrador.

Estas capacidades permiten a los atacantes controlar remotamente los teléfonos infectados, convirtiéndolos en verdaderos centros de fraude digital.

Estrategia geográfica y objetivos

Los primeros ataques de RatOn se han concentrado en la República Checa, con indicios de expansión hacia Eslovaquia. El hecho de que el malware se centre inicialmente en una única aplicación bancaria sugiere que los atacantes trabajan en colaboración con mulas de dinero locales para lavar las ganancias ilícitas.

Sin embargo, la arquitectura del malware y su modularidad sugieren que podría escalar hacia campañas más amplias en toda Europa y eventualmente a nivel global, afectando tanto a usuarios de criptomonedas como a clientes bancarios tradicionales.

Cómo protegerse contra RatOn

La sofisticación de RatOn obliga a los usuarios y empresas a reforzar sus medidas de ciberseguridad móvil. Algunas recomendaciones clave son:

  1. Descargar apps solo de fuentes oficiales. Evitar instalar aplicaciones desde enlaces externos o versiones falsas de tiendas.

  2. Revisar permisos solicitados. Negar accesos sospechosos a funciones de accesibilidad y administración de dispositivos.

  3. Mantener Android actualizado. Instalar siempre los parches de seguridad más recientes.

  4. Usar soluciones de seguridad móvil. Antimalware especializado puede detectar aplicaciones dropper antes de que instalen la carga maliciosa.

  5. Educar a los usuarios. La concienciación sigue siendo la primera línea de defensa contra el phishing y el fraude digital.

En fin, RatOn representa una nueva generación de malware para Android, capaz de combinar múltiples técnicas maliciosas en una sola plataforma: desde fraudes bancarios automatizados hasta ataques NFC y robo de criptomonedas. Su rápida evolución y su capacidad para abusar de aplicaciones financieras legítimas lo convierten en una amenaza seria para usuarios y entidades bancarias en 2025.

El caso RatOn refuerza la importancia de implementar una estrategia de seguridad móvil integral, donde la prevención, la monitorización y la educación del usuario se convierten en elementos clave para mitigar los riesgos de un entorno cada vez más hostil en el ciberespacio.

Fuente: The Hacker News

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!