Un nuevo troyano bancario para Android, llamado RatOn, ha sido detectado permitiendo transferencias automáticas de dinero directamente desde el teléfono de la víctima, sin necesidad de interacción manual. Este malware, desarrollado desde cero sin reutilizar código previo, utiliza técnicas avanzadas como abusar de los servicios de accesibilidad y superponer pantallas falsas para simular un ataque de ransomware. Mientras la víctima cree que su dispositivo está bloqueado, los delincuentes acceden a sus apps financieras y ejecutan transferencias automáticas. Actualmente se trata como un software de pruebas en la República Checa, pero su potencial de expansión es muy alto. La detección temprana, junto al uso de Google Play Protect y buenas prácticas de ciberhigiene, son clave para evitar ser víctima de este tipo de amenazas.

Contexto y funcionamiento de RatOn

RatOn no reutiliza código de familias malware anteriores, lo que lo convierte en una amenaza original y desarrollada ex novo. Investigadores de Threat Fabric lo identificaron mientras examinaban un ataque basado en NFC; fue descrito como un troyano bancario completamente funcional que, además de secuestrar dispositivos Android de alta gama, ejecuta transferencias automáticas de dinero mediante abusos de los servicios de accesibilidad. También recurre a ataques de superposición (overlay), colocando pantallas falsas sobre aplicaciones bancarias para engañar al usuario y robar credenciales, como explican en Tom’s Guide.

Esta estrategia permite que, sin intervención humana, se realicen transacciones bancarias ilegítimas manteniendo la apariencia de un ataque de ransomware. El usuario observa una pantalla que aparenta haber bloqueado su teléfono, exigiendo un rescate, mientras los delincuentes actúan en segundo plano. Se aprovechan de permisos para leer y escribir la lista de contactos, administrar ajustes del sistema y activar privilegios de administrador, lo que amplía su control sobre el dispositivo.

Detalles técnicos y cifras clave

RatOn solicita permisos potentes como Accessibility Services y Device Admin, esenciales para lanzar overlays fraudulentos y automatizar comandos financieros. Tras obtener estos privilegios, descarga un tercer payload—identificado como NFSkate—que permite ataques vía NFC (con técnica conocida como “Ghost Tap”) y captura información de pagos sin contacto, aumentando la sofisticación del ataque según Tom’s Guide.

La cadena de ataque comienza desde un sitio con temática adulta (“TikTok18+”), que engaña al usuario para que active la instalación manual (sideload) y otorgue permisos críticos. Una vez activo, RatOn escanea las apps financieras, presenta pantallas de ransomware falsas y lanza transferencias automáticas (ATS) utilizando los permisos conseguidos, operando sin visión del propietario del dispositivo. Por el momento, el ataque ha sido identificado solo en República Checa, aunque se sospecha que podría expandirse si logra pasar su fase de pruebas.

RatOn en acción

RatOn es, sin duda, el protagonista central de esta nueva ola de malware móvil. Destaca por su capacidad de ejecutar operaciones financieras desde un dispositivo Android de forma completamente automática, combinando varios métodos de ataque: overlay, acceso por accesibilidad, privilegios administrativos y control mediante sideload disfrazado. Todo ello, sin detección inicial por parte del usuario, lo convierte en una amenaza seria para sistemas bancarios y financieros móviles.

Los ataques de overlays son una técnica clave, porque permiten suplantar las pantallas de login de apps bancarias populares sin que el usuario lo sospeche. Además, las transferencias automáticas hacen uso de comandos remotos o bots que imitan comportamientos humanos con precisión. El hecho de que el malware ofrezca una apariencia de ransomware—sin serlo realmente—refuerza su eficacia persuasiva. Esta combinación técnica plantea serios desafíos para los mecanismos tradicionales de seguridad móvil.

Comparativa con otros troyanos Android

RatOn se une a la línea emergente de troyanos bancarios sofisticados, como ToxicPanda, que opera mediante fraude en el dispositivo (on-device fraud) y abusando de los servicios de accesibilidad para evadir medidas de seguridad bancarias. ToxicPanda ha utilizado comandos para automatizar traslados de dinero, incluso tras evadir la autenticación de dos factores (2FA), como detalla The Hacker News.

Por otro lado, BingoMod es otra variante reciente que no solo efectúa transferencias automáticas, sino que también limpia parcialmente el dispositivo para destruir pruebas tras el robo, actuando principalmente contra usuarios de Italia, Rumanía e Inglaterra, según The Hacker News y Tom’s Guide. En América Latina, especialmente Brasil, ha surgido GoatRAT, centrado en los pagos móviles instantáneos (como PIX), que realiza transferencias no autorizadas sin solicitar SMS ni credenciales, como advierte Dark Reading.

La tendencia clara es el desarrollo de RATs móviles cada vez más automatizados, que priorizan la transferencia de fondos (ATS) sobre la recolección simple de credenciales, complicando los métodos tradicionales de defensa.

¿Cómo estar protegido frente a amenazas como RatOn?

La protección contra este tipo de malware exige una combinación de buenas prácticas técnicas y de usuario. En primer lugar, nunca se deben instalar apps desde fuentes desconocidas; el sideload habilita vectores críticos como los que usa RatOn, según recuerda Tom’s Guide. Google Play Protect, aunque útil, no detecta automáticamente apps maliciosas si se descargan mediante sideload, por lo que es indispensable mantenerlo activo y combinarlo con soluciones antivirus móviles confiables.

Además, revisar y restringir los permisos de accesibilidad es fundamental. Estas funciones suelen venir desactivadas de fábrica por una razón, y solo deben activarse temporalmente para apps de confianza. Limitar apps instaladas facilita detectar actividad sospechosa y elimina el vector de sobrecarga observando si alguna app actúa mal sin usarla.

Finalmente, ante cualquier requerimiento inusual—como una pantalla de “mantenimiento programado” o un bloqueo imitando ransomware—se debe reiniciar el móvil en modo seguro, cambiar todas las contraseñas bancarias y considerar un restablecimiento de fábrica si hay sospechas de compromiso. En este sentido, Tom’s Guide recomienda precisamente eliminar apps sospechosas, habilitar Google Play Protect y cambiar credenciales bancarias de inmediato.

Reflexiones adicionales

RatOn representa una nueva generación de troyanos móviles que combinan automatización (ATS), engaño visual (overlay) y control profundo del sistema mediante permisos avanzados. Su diseño desde cero y la capacidad para fingir ransomware elevan el nivel de amenaza más allá de los métodos tradicionales. Resulta especialmente preocupante porque, aunque solo se ha detectado en un país, el código malicioso está ya distribuido, lo que facilita su rápida expansión si logra traspasar fronteras.

Además, RatOn revela una tendencia preocupante: los cibercriminales optimizan sus herramientas para actuar sin supervisión, completando transacciones fraudulentas sin requerir presencia del usuario. Frente a esto, confiar solo en herramientas automáticas de detección ya no es suficiente. Solo una combinación de prevención proactiva, conciencia del usuario y control riguroso de permisos puede frenar estas amenazas.