Los investigadores de ciberseguridad han observado en los últimos meses la aparición de un novedoso troyano bancario para Android, RatOn, que combina a la perfección capacidades de acceso remoto con tecnología de retransmisión NFC y funciones del Sistema de Transferencia Automatizada (ATS).
Detectada inicialmente a mediados de julio de 2025, la arquitectura de múltiples etapas de RatOn aprovecha una aplicación cuentagotas para instalar cargas útiles posteriores, lo que culmina en la toma total del dispositivo y la ejecución de transacciones fraudulentas.
El troyano se distribuye a través de dominios con temas para adultos que se hacen pasar por instaladores de terceros y se dirige a usuarios checos y eslovacos en su campaña inicial.
Su sofisticado diseño permite a los atacantes abusar de los permisos de Accesibilidad y Administrador de Dispositivos tanto para el monitoreo del estado de la pantalla como para las interacciones automatizadas con aplicaciones bancarias legítimas.
Los analistas de Threat Fabric señalaron que los desarrolladores de RatOn parecen haber escrito el malware completamente desde cero, sin aparente reutilización del código de las familias bancarias de Android existentes.
Después de la instalación, la primera carga útil solicita acceso al servicio de accesibilidad a través de una interfaz WebView y posteriormente aumenta los privilegios para administrar la configuración y los contactos del sistema.
Una vez concedidos, estos permisos permiten al troyano operar sigilosamente en segundo plano, capturando elementos en pantalla a través de la API de accesibilidad en lugar de la transmisión de pantalla que consume muchos recursos.
Luego, RatOn carga una carga útil de tercera etapa, el malware NFSkate, diseñado originalmente para ataques de retransmisión NFC, combinando efectivamente el robo de tarjetas con el control remoto de dispositivos.
Los investigadores de Threat Fabric identificaron que la función de transferencia automática se centra específicamente en una aplicación bancaria checa, «George Česko».
Al recibir un comando con formato JSON de su servidor de control, RatOn inicia la aplicación bancaria específica y simula las interacciones del usuario, incluida la entrada de PIN, para ejecutar transferencias no autorizadas.
Este nivel de precisión indica una comprensión profunda de la interfaz de usuario del banco, hasta hacer clic basado en coordenadas cuando falla la búsqueda basada en elementos.
En particular, el troyano confirma automáticamente los PIN de las transacciones, que se recopilan durante pasos anteriores de phishing o superposición, lo que garantiza que las transferencias fraudulentas se realicen sin la intervención del usuario.
En una rutina de transferencia observada, el operador envía un objeto JSON a RatOn que contiene los detalles del destinatario:
{
«command_id»: «transfer»,
«receiver_name»: «John Doe»,
«account_number»: «CZ6508000000001234567899»,
«amount»: «15000»,
«currency»: «CZK»
}
Mecanismo de infección
La cadena de infección de RatOn comienza con una aplicación cuentagotas que solicita a la víctima que habilite la instalación de aplicaciones de terceros.
Tras la aprobación del usuario, el cuentagotas crea un WebView que apunta a una URL codificada y expone una función installApk() a la página.
Cuando la víctima toca el botón en pantalla, el cuentagotas invoca installApk() para descargar la carga útil de la segunda etapa: –
Después de la instalación, la carga útil solicita inmediatamente privilegios de Accesibilidad y Administrador de dispositivos a través de cuadros de diálogo WebView adicionales.
Al explotar estos permisos elevados, RatOn establece persistencia y evade la detección: intercepta diálogos de permisos, acepta solicitudes automáticamente y bloquea el dispositivo para pedir un rescate si es necesario.
La combinación de ataques de superposición, componentes de retransmisión NFC y transacciones automatizadas convierte a RatOn en uno de los troyanos bancarios más avanzados hasta la fecha.
