Tu smartphone se ha convertido en un cajero automático para hackers: RatOn transfiere dinero mientras duermes.

Los analistas de ThreatFabric informaron sobre la aparición de un troyano bancario único llamado RatOn, que combina las funciones de un malware clásico para Android con capacidades de acceso remoto y ataques a aplicaciones de pago.

A diferencia de la mayoría de los troyanos móviles, RatOn combina varios mecanismos: la superposición de pantallas falsas sobre servicios legítimos, la automatización de transferencias dentro de aplicaciones bancarias y el uso de un relé NFC para el robo de datos de tarjetas. Este conjunto lo convierte en una herramienta extremadamente peligrosa, que permite tanto controlar el dispositivo de forma sigilosa como robar dinero directamente.

Según ThreatFabric, RatOn está vinculado al grupo NFSkate, que anteriormente desarrolló herramientas para ataques mediante pagos sin contacto. Los primeros ejemplares del nuevo troyano datan de julio de 2025, y la actividad se registró hasta finales de agosto. Durante la campaña los atacantes registraban sitios con contenido erótico. Fue allí donde se alojaba el cargador, que se hacía pasar por un instalador de terceros y solicitaba permiso para instalar aplicaciones desde orígenes desconocidos.

Tras obtener acceso, el cargador abría una página con un botón de instalación que ejecutaba la función oculta installApk. Como resultado, en el smartphone de la víctima se instalaba un segundo componente que requería permisos de administrador del dispositivo y acceso a los servicios de accesibilidad de Android. Con su ayuda RatOn obtenía control total de la pantalla, sabía evitar los diálogos del sistema y confirmar automáticamente los permisos concedidos. Luego podía descargar un tercer módulo: el malicioso NFSkate, orientado a realizar ataques mediante NFC.

Las funciones principales de RatOn se basan en la API de accesibilidad. El troyano puede analizar el estado actual de la interfaz y enviarlo a los operadores, simular clics en botones, introducir códigos PIN y modificar parámetros del sistema.

Para llevar a cabo operaciones fraudulentas se emplean dos enfoques: mostrar superposiciones con formularios falsos y realizar ataques ATS dentro de la aplicación bancaria. En el transcurso de una operación así RatOn recibe una orden con los datos de la transferencia y pulsa de forma secuencial los elementos de la interfaz —desde la inicialización del pago hasta la confirmación final con la introducción del PIN previamente robado. Además, el troyano puede comprobar y modificar los límites de las transferencias, lo que indica que los delincuentes cuentan con una infraestructura de mulas financieras.

Se presta especial atención a las carteras de criptomonedas. El malware es compatible con MetaMask, Trust Wallet, Blockchain.com y Phantom. Al recibir la orden, RatOn lanza automáticamente la aplicación correspondiente, introduce la contraseña o PIN guardado, accede a los ajustes de seguridad y muestra la frase mnemónica. Un keylogger registra estos datos y los envía al servidor de control. Es interesante que las interfaces para los atacantes están implementadas en cuatro idiomas: inglés, ruso, checo y eslovaco.

El conjunto de comandos disponibles para el operador es extremadamente amplio: desde lanzar WhatsApp y Facebook hasta suplantar el contenido del portapapeles, enviar SMS, cambiar el brillo y bloquear la pantalla. También se admite la transmisión de la pantalla en tiempo real, lo que convierte a RatOn en una herramienta completa de administración remota de smartphones infectados. También se implementaron funciones de bloqueo del dispositivo y de mostrar mensajes de extorsión, aunque los investigadores consideran este escenario secundario en comparación con las transferencias automáticas de fondos.

El análisis técnico mostró que el código de RatOn fue escrito desde cero y no comparte fragmentos con otras familias conocidas. Esto confirma que el grupo NFSkate invierte recursos considerables en desarrollar su propio conjunto de herramientas. En la primera fase de la campaña el malware se dirigió a usuarios de la República Checa; sin embargo, el soporte de varios idiomas y el trabajo con servicios globales de criptomonedas indican planes de ampliar la geografía de los ataques. Los expertos señalan que la aparición de un troyano así aumenta drásticamente el nivel de amenaza para la banca móvil, ya que la combinación de funciones RAT, relé NFC y ATS lo convierte en un arma prácticamente universal en manos de delincuentes.