La ciberseguridad móvil vuelve a estar en alerta tras el hallazgo de un troyano especialmente peligroso que afecta a dispositivos con sistema operativo Android. Bautizado como RatOn, este software malicioso se presenta como una aplicación legítima, pero en realidad tiene la capacidad de tomar el control del teléfono de la víctima, robar información sensible, realizar transferencias automáticas de dinero e incluso bloquear el equipo como si fuera un ransomware.

El descubrimiento fue realizado por la firma especializada ThreatFabric, que confirmó que el malware ha sido distribuido principalmente en países de Europa central, aunque su propagación podría extenderse a otros mercados.

Los investigadores detectaron que RatOn se oculta en una app fraudulenta llamada TikTok18+, diseñada para atraer a usuarios que creen estar descargando una versión “para adultos” de la popular red social. El engaño comienza desde el mismo proceso de instalación, en el que se solicitan permisos aparentemente comunes, pero que en realidad son la puerta de entrada para que los atacantes puedan controlar el dispositivo.

Entre las autorizaciones que pide el malware se encuentran el acceso a los servicios de accesibilidad, privilegios de administrador, lectura y modificación de contactos, además de la capacidad de cambiar configuraciones internas del sistema. Con estas funciones habilitadas, el troyano puede ejecutar acciones sin que el usuario lo note.

Según la investigación, detrás de esta campaña se encuentra un grupo identificado como NFSkate, que distribuyó la aplicación a través de varios dominios fraudulentos dirigidos a usuarios de habla checa y eslovaca.

RatOn se ejecuta a través de un dropper, es decir, un instalador malicioso que descarga y activa la carga útil real. Una vez en funcionamiento, despliega una serie de técnicas avanzadas para comprometer al usuario. Entre ellas destacan:

• Superposición de ventanas falsas: el malware coloca pantallas idénticas a las de aplicaciones legítimas para engañar a la víctima y obtener credenciales bancarias o de redes sociales.
• Transferencias automáticas (ATS): si logra acceso al PIN o a las aplicaciones financieras, puede realizar movimientos de dinero sin autorización del titular.
• Intercepción de pagos NFC: aprovecha la cercanía del dispositivo para manipular transacciones realizadas con la tecnología de pagos sin contacto.
• Función de ransomware: bloquea el dispositivo y exige un rescate económico para devolver el acceso.
• Keylogger: registra todo lo que el usuario escribe, incluidas contraseñas y mensajes privados.

Además, RatOn incluye un amplio conjunto de comandos que permiten abrir aplicaciones como WhatsApp, simular toques en la pantalla o incluso capturar imágenes del dispositivo en tiempo real.

Los expertos de ThreatFabric aseguran que RatOn no es una simple variante de troyanos ya existentes, sino un desarrollo creado desde cero, lo que lo convierte en una amenaza inédita y especialmente peligrosa. Este detalle lo hace más difícil de detectar para las soluciones de seguridad tradicionales, que suelen estar preparadas para identificar familias de malware conocidas.

La combinación de funcionalidades, desde el robo de credenciales hasta el bloqueo total del dispositivo, muestra que se trata de un proyecto sofisticado con el objetivo de generar múltiples vías de ataque y monetización para los ciberdelincuentes.

El caso de RatOn refuerza una recomendación constante de los especialistas: no instalar aplicaciones fuera de las tiendas oficiales como Google Play Store. Descargar archivos desde páginas desconocidas aumenta de forma considerable el riesgo de infección.

Otras medidas preventivas incluyen:

• Mantener siempre actualizado el sistema operativo y las aplicaciones.
• Revisar los permisos que solicita cada aplicación antes de instalarlas.
• Contar con una solución de seguridad confiable en el dispositivo.
• Evitar hacer clic en enlaces sospechosos que lleguen por correo electrónico, SMS o redes sociales.
• Activar la autenticación en dos pasos en servicios bancarios y cuentas sensibles.

En caso de sospecha de infección, lo más recomendable es restablecer el dispositivo a su configuración de fábrica y restaurar solo datos de copias de seguridad seguras.