Nuevo troyano para Android utiliza la comunicación de campo cercano para robar dinero automáticamente de los dispositivos.

Investigadores de seguridad han identificado una nueva variante de malware para Android, específicamente un troyano que combina técnicas de ataque NFC, superposiciones y transferencias automáticas de dinero, conocido como RatOn. Este malware se centra en aplicaciones bancarias y billeteras de criptomonedas, y es capaz de robar PINs y frases de recuperación de los usuarios.

Recientemente, Threat Fabric compartió un informe detallado sobre RatOn, que es un Troyano de Acceso Remoto (RAT) con capacidades de relevo NFC. Un ataque de relevo NFC implica que los delincuentes utilizan dos dispositivos para engañar a un terminal de pago, haciendo que crea que una tarjeta o teléfono real está presente, aunque en realidad se encuentre en otro lugar. Un dispositivo infectado lee los datos de la tarjeta de la víctima y los envía a otro dispositivo que realiza el pago en su lugar.

Según Threat Fabric, casos donde un troyano evoluciona de una herramienta básica de relevo NFC a un sofisticado RAT con capacidades de Sistema de Transferencia Automatizada (ATS) son prácticamente inexistentes. La combinación de ataques por superposición con transferencias automáticas de dinero y funcionalidad de relevo NFC hace de RatOn una amenaza particularmente poderosa.

Este malware fue desarrollado por primera vez a principios de julio de 2025, y su versión más reciente apareció el 29 de agosto, lo que indica que aún está en desarrollo activo. RatOn actúa principalmente como un troyano bancario en Android, tomando control de dispositivos y cuentas, y también afecta billeteras de criptomonedas como MetaMask, Trust Wallet, Blockchain.com o Phantom.

Además, el malware utiliza superposiciones para engañar a los usuarios y bloquear dispositivos, y realiza transferencias automáticas de dinero a través de la aplicación de banca móvil George Česko. Dado que esta aplicación es popular en Chequia, los investigadores dedujeron que los atacantes están enfocándose principalmente en víctimas de Chequia y Eslovaquia.

La distribución de este malware se lleva a cabo a través de páginas falsificadas de Google Play, configuradas para mostrar una versión para adultos de la aplicación TikTok, que actúa como un depositario de malware. Una vez instalada, la aplicación requiere ciertos permisos de la víctima, incluyendo uno que permite descargas de fuentes externas. Si se conceden, desplegará una carga útil de segunda etapa y solicitará más permisos, incluyendo los temidos Servicios de Accesibilidad.