Nueva alerta sobre la aparición de un troyano de última generación que pone en riesgo la privacidad y las finanzas de miles de usuarios de Android. Bautizado como RatOn, este malware representa una amenaza inédita para los móviles, ya que logra tomar el control del dispositivo, obtener credenciales bancarias y ejecutar transferencias automáticas de dinero sin que la víctima lo note.

El peligro radica en su capacidad para operar en segundo plano y su sofisticación técnica, que lo diferencia de otras amenazas conocidas hasta la fecha.

El equipo de ThreatFabric, empresa de ciberseguridad, identificó RatOn a comienzos de julio de 2025 durante el monitoreo de campañas dirigidas a usuarios de Europa Central, en particular en la República Checa y Eslovaquia.

Según su investigación, los responsables del malware corresponden al grupo NFSkate, activo desde hace tiempo en el cibercrimen asociado a la banca digital. RatOn destaca por haber sido desarrollado desde cero, sin aprovechar fragmentos de código de malwares anteriores, lo que obstaculiza su detección por los antivirus tradicionales.

La campaña de distribución de RatOn se centra en técnicas de ingeniería social: los atacantes crean páginas web y dominios atractivos, relacionados con contenido para adultos. Entre los cebos más utilizados figura la supuesta aplicación “TikTok18+”, cuya descarga desencadena todo el proceso malicioso.

De este modo, los usuarios son convencidos de instalar una “nueva versión” de TikTok, sin sospechar que están dando acceso completo a los ciberdelincuentes.

RatOn emplea un método de infección en varias etapas, lo que le otorga una versatilidad y un nivel de ocultamiento superior al de otros troyanos móviles. El proceso comienza con la descarga de un “dropper”, una aplicación aparentemente inofensiva que consigue permisos para instalar software adicional en el terminal.

Este instalador solicita privilegios críticos como el servicio de accesibilidad, acceso como administrador del dispositivo, lectura y escritura de contactos, y administración de la configuración del sistema.

En la segunda fase, el malware despliega su carga útil principal. RatOn exige al usuario conceder permisos que, aunque puedan parecer habituales, permiten al software controlar el móvil en profundidad. Además, ejecuta comandos en segundo plano y comunica el estado del dispositivo a su servidor de mando y control.

En una tercera etapa, se instala el módulo especializado para ataques usando comunicaciones NFC, lo que amplía el espectro de las acciones maliciosas.

RatOn no es solo un troyano de acceso remoto clásico. Agrupa múltiples métodos delictivos en una estructura modular, lo que aumenta el grado de sofisticación. Entre sus técnicas más avanzadas se encuentran los siguientes recursos:

• Superposición de pantallas (Overlay Attacks): RatOn es capaz de mostrar pantallas falsas por encima de aplicaciones legítimas utilizadas en el dispositivo. De este modo, simula la interfaz de una app bancaria o de pago, solicitando credenciales, PINs o confirmaciones sin levantar sospechas. En campañas recientes, se identificaron versiones en checo e inglés, y las “pantallas de rescate falsas” también han sido utilizadas para amenazar a la víctima y exigir pagos inmediatos.
• Transferencias automáticas de dinero (ATS): el malware reconoce interfaces bancarias y automiza operaciones como nuevas transferencias, envíos y confirmaciones, incluso insertando el PIN interceptado con anterioridad. Su capacidad para manipular aplicaciones financieras —como George Česko de República Checa— le permite transferir dinero desde la cuenta de la víctima sin intervención humana. La función ATS, combinada con el robo de información, hace que RatOn pueda vaciar cuentas en cuestión de segundos.
• Fraude con criptomonedas: RatOn ha ampliado su alcance hacia monederos digitales como MetaMask, Trust Wallet, Blockchain.com y Phantom. Una vez que accede a una de estas aplicaciones, introduce el PIN, navega por los menús y extrae las frases de recuperación, lo que facilita el robo de carteras de criptomonedas. Esta operación está prevista en varios idiomas, lo que deja entrever la intención de escalar los ataques a otros mercados.
• Control remoto avanzado: a través de más de veinte comandos, RatOn puede monitorizar el estado de la pantalla, modificar el portapapeles, enviar notificaciones falsas, obtener el inventario de apps instaladas, simular clics o activar bloqueos fraudulentos. Sus funciones como keylogger —registrando todo lo que se escribe en el teléfono— complementan su potencial para robo de credenciales.
• Ransomware y bloqueo de dispositivos: el troyano no se limita a robar información: también es capaz de activar un bloqueo completo del terminal y mostrar una pantalla exigiendo el pago de un rescate. Esta función multiplataforma transforma a RatOn en una herramienta integral de fraude móvil.

La aparición de RatOn obliga a redoblar la precaución en el uso cotidiano de teléfonos móviles. Algunas prácticas imprescindibles para reducir el riesgo de infección por troyanos de este tipo:

• Descargar exclusivamente aplicaciones desde tiendas oficiales como Google Play Store.
• No acceder a enlaces sospechosos ni instalar apps promocionadas en páginas con contenido adulto o dominios desconocidos.
• Revisar detalladamente los permisos solicitados al instalar cualquier software y denegar aquellos que resulten injustificados.
• Evitar otorgar privilegios de administrador y el acceso a servicios de accesibilidad a apps no verificadas.
• Ante cualquier signo de actividad inusual o sospecha de infección, realizar un restablecimiento de fábrica del dispositivo sin dilación.
• Contactar con la entidad bancaria para bloquear cuentas o tarjetas en caso de detectar accesos irregulares.