¿Necesitas ayuda o prefieres visitarnos?
Teléfono:
960 260 360
Dirección:
Plaza País Valencia, 25 (bajo)
Las autoridades advierten sobre RatOn, un troyano avanzado que amenaza la seguridad de teléfonos Android. Capaz de robar dinero, bloquear dispositivos y obtener control total, este malware representa una nueva era en ciberamenazas. Con mecanismos sofisticados como el Sistema de Transferencia Automatizada, RatOn ha sido identificado como un peligro emergente que necesita urgentemente atención y precauciones de seguridad.
- 1 RatOn: El nuevo troyano que amenaza dispositivos Android
- 2 Transferencia Automatizada: El mecanismo peligroso de RatOn
- 3 Consecuencias del ataque de RatOn en teléfonos Android
- 4 Estrategias para proteger tu dispositivo contra RatOn
- 5 Detectando a RatOn: Señales de alerta en tu dispositivo Android
- 6 Reacción de las autoridades frente a la amenaza de RatOn
- 7 Contacto
RatOn: El nuevo troyano que amenaza dispositivos Android
RatOn es un troyano reciente orientado a Android, identificado por investigadores de ThreatFabric, que destaca por su combinación de técnicas para robar dinero, bloquear el dispositivo y asumir el control remoto. A diferencia de familias conocidas, se ha desarrollado desde cero, lo que complica su detección por firmas tradicionales. Su distribución inicial aprovechó dominios que promocionaban una falsa app llamada TikTok18+, dirigida a usuarios de lengua checa y eslovaca, que actuaba como señuelo para facilitar la instalación.
El punto diferencial de RatOn reside en dos capacidades avanzadas. Por un lado, incorpora módulos vinculados a NFC heredados del proyecto malicioso NFSkate, pensados para ataques de retransmisión. Por otro, integra ATS, Sistema de Transferencia Automatizada, que permite operar apps bancarias y billeteras sin intervención del delincuente en tiempo real. Esta automatización eleva la eficacia del fraude y reduce la necesidad de acceso manual al terminal.
El flujo de infección comienza con un instalador malicioso que solicita permisos sensibles, especialmente el servicio de accesibilidad y los privilegios de administrador del dispositivo. Una vez concedidos, el troyano puede leer la pantalla, simular pulsaciones y desactivar protecciones, lo que abre la puerta a un control casi total. Con estas capacidades, se habilita también la ejecución de ransomware y el uso de keylogger para capturar credenciales y PIN.
La campaña observada se apoya en un catálogo amplio de comandos, que incluye obtener el estado de la pantalla, iniciar aplicaciones como WhatsApp, listar apps instaladas con la huella del dispositivo y realizar clics simulados. Todo ello apunta a una amenaza versátil, que combina ingeniería social, abuso de permisos y automatización para maximizar el impacto en víctimas domésticas y organizaciones.
Cómo funciona RatOn y la obtención de control total
RatOn se instala mediante un dropper, que actúa como puerta de entrada y descarga cargas útiles adicionales. En la primera ejecución solicita permisos para instalar software, gestionar la configuración del sistema y acceder al servicio de accesibilidad, un punto crítico que le permite leer contenido en pantalla y ejecutar acciones en nombre del usuario. En paralelo, intenta convertirse en administrador del dispositivo para dificultar su eliminación.
Con accesibilidad activada, el troyano es capaz de emular gestos y pulsaciones, interceptar notificaciones, aceptar cuadros de diálogo y concederse nuevos permisos de manera silenciosa. Esta automatización facilita desactivar Play Protect, cerrar advertencias del sistema y ocultar su icono, con lo que consigue persistencia. Si el móvil usa bloqueo con código, puede capturar el PIN con un keylogger y desbloquear la pantalla cuando lo necesita.
La arquitectura suele ser modular. Una carga dirige funciones de robo financiero con ATS, y otra se orienta a capacidades de retransmisión NFC vinculadas a NFSkate. El troyano se comunica con un servidor de comando y control para recibir instrucciones, actualizar configuraciones y descargar scripts que automatizan operaciones en aplicaciones concretas. Así, adapta su comportamiento a la entidad bancaria de la víctima o al país objetivo.
Además del fraude, RatOn incluye funciones de bloqueo de pantalla para exigir rescates en criptomonedas, así como exfiltración de contactos y aplicaciones instaladas. En muchos casos abre WhatsApp u otras apps para propagarse mediante mensajes con enlaces maliciosos. El resultado es una combinación peligrosa de control total, robo silencioso y capacidad de extorsión, que exige respuestas rápidas y medidas preventivas estrictas.
Transferencia Automatizada: El mecanismo peligroso de RatOn
La Transferencia Automatizada, conocida como ATS, es el rasgo más preocupante de RatOn. Consiste en guiones y reglas que usan accesibilidad para moverse por la app bancaria, introducir credenciales robadas, solicitar importes y confirmar operaciones sin que el delincuente tenga que controlar manualmente el teléfono. La víctima puede no percibir nada, ya que las acciones ocurren con la pantalla encendida o simulando toques en segundo plano.
Para completar la transferencia, el módulo ATS detecta cuándo se abre la app del banco, identifica los campos de usuario y contraseña, e inyecta datos que obtuvo por keylogger o mediante interceptación de notificaciones. Si el banco exige 2FA u OTP, el troyano accede a las notificaciones y al contenido en pantalla para capturar los códigos, o fuerza un flujo de recuperación de acceso que también automatiza. De este modo reduce las barreras antifraude y acelera el vaciado de cuentas.
En algunos escenarios, RatOn abre un WebView controlado o emplea inyecciones visuales que camuflan formularios y redirigen a versiones manipuladas de la banca. La combinación de accesibilidad y scripts le permite crear transferencias entre cuentas propias del atacante, editar conceptos y ocultar comprobantes. El operador, si es necesario, ajusta parámetros desde el servidor C2 para adaptarse a nuevas versiones de las apps bancarias, lo que prolonga la vida de la campaña.
Este enfoque industrializa el fraude, elimina errores humanos y opera a gran velocidad. Además, al ejecutarse desde el propio dispositivo de la víctima, muchos controles antifraude, basados en reputación del dispositivo o localización, fallan en su detección. De ahí que la prevención y la limitación estricta del permiso de accesibilidad sean esenciales para cortar el flujo de automatización.
Consecuencias del ataque de RatOn en teléfonos Android
Un dispositivo infectado con RatOn puede experimentar tres impactos principales. En primer lugar, el robo directo de fondos, tanto en cuentas bancarias como en billeteras de criptomonedas, aprovechando ATS y el acceso a notificaciones. En segundo lugar, el bloqueo del equipo mediante funciones de ransomware que exigen rescates. En tercer lugar, el control remoto general del teléfono, con lectura de pantalla, apertura de apps y envío de comandos desde el servidor C2.
Para el usuario doméstico, el resultado suele traducirse en pérdidas económicas, filtración de datos personales y secuestro de cuentas, incluidos perfiles de mensajería y redes sociales. Para empresas, el riesgo escala, ya que un móvil comprometido puede abrir puertas a servicios corporativos, correo, VPN y almacenamiento en cloud. Si el dispositivo participa en políticas de movilidad, la infección puede propagarse y generar incidentes de cumplimiento normativo.
La persistencia es otro problema, porque al tener privilegios de administrador se dificulta la desinstalación y la restauración. RatOn también puede desactivar protecciones y engañar al usuario con pantallas superpuestas. En contextos críticos, el atacante puede borrar evidencias o forzar formato de fábrica para entorpecer la investigación, lo que agrava la recuperación de datos.
Finalmente, hay un efecto reputacional y legal. La filtración de contactos, correos y documentos puede derivar en suplantaciones y fraude a terceros. Las empresas deben notificar incidentes cuando afecten a datos personales, y los bancos pueden requerir pruebas y denuncias para iniciar procesos de devolución. Cuanto más tarde se detecta el ataque, mayor es el coste total y más compleja la recuperación.
Impacto financiero y medida de recuperación
El impacto financiero de RatOn se manifiesta en transferencias no autorizadas, compras en línea y vaciado de monederos. Dado que las operaciones se ejecutan desde el propio dispositivo legítimo, los sistemas antifraude pueden considerar el contexto como confiable. Esto complica la devolución de cargos, por lo que el tiempo de reacción es determinante para bloquear movimientos y recuperar fondos.
Ante la sospecha de infección, conviene activar el modo avión, desconectar el Wi-Fi y retirar la tarjeta SIM, para frenar el control remoto y la exfiltración. Contacta inmediatamente con tu banco por canales oficiales, solicita el bloqueo de cuentas y tarjetas, y pide la reversión de transferencias, aportando pantallazos y números de operación. Cambia contraseñas desde un equipo limpio, priorizando correo, banca, redes sociales y autenticadores.
Para erradicar el troyano, considera una copia de seguridad segura y un restablecimiento de fábrica. Antes de restaurar datos, revisa qué aplicaciones vuelves a instalar y evita restaurar copias que puedan incluir la app maliciosa. Es recomendable ejecutar un antivirus móvil reputado tras el reinicio y mantenerlo actualizado, además de reconfigurar la verificación en dos pasos con códigos de recuperación.
Denuncia el incidente ante las autoridades competentes y guarda evidencias, como mensajes, enlaces y registros de transacciones. Si el teléfono pertenece a una empresa, informa al equipo de seguridad y al responsable de movilidad para que apliquen contención mediante MDM, revocación de accesos y rotación de certificados. Estas medidas aceleran la recuperación y reducen el riesgo de reinfección o fraude adicional.
Estrategias para proteger tu dispositivo contra RatOn
La primera defensa consiste en reducir la superficie de ataque. Instala apps solo desde Google Play, desactiva la instalación de orígenes desconocidos y verifica la legitimidad del desarrollador. Mantén el sistema y las aplicaciones al día, ya que las actualizaciones corrigen vulnerabilidades. Activa Play Protect y evita deshabilitarlo ante mensajes sospechosos, aunque aparenten ser parte de un proceso de instalación legítimo.
Revisa con frecuencia los permisos sensibles, sobre todo el de servicio de accesibilidad, dibujar sobre otras apps y acceso a notificaciones. Desconfía de aplicaciones que pidan accesibilidad para funciones que no lo requieren, por ejemplo reproductores o juegos. En un móvil de trabajo, aplica políticas de MDM para restringir la instalación, forzar cifrado, exigir PIN robusto y bloquear cuentas si se detecta comportamiento anómalo.
Complementa la prevención con soluciones de antivirus y detección de amenazas móviles capaces de alertar sobre comportamientos ATS. Configura un firewall o perfiles de red que limiten conexiones salientes a dominios desconocidos, y considera DNS filtrado para cortar acceso a infraestructuras maliciosas. Por último, forma a los usuarios en identificar cebos de ingeniería social, como apps falsas tipo TikTok18+, enlaces acortados y promesas de contenido exclusivo.
Recuerda que ninguna solución es infalible si se concede accesibilidad a una app maliciosa. Establece un principio de mínima concesión y revisa cada solicitud de permiso con detenimiento. Un minuto extra verificando puede evitar pérdidas significativas y procesos de recuperación costosos en tiempo y dinero.
Medidas básicas y avanzadas de seguridad digital
Como medidas básicas, mantén el teléfono actualizado, instala apps solo de fuentes confiables y habilita bloqueo con PIN o biometría. Revisa periódicamente accesibilidad, administración del dispositivo y acceso a notificaciones, y elimina cualquier app que no reconozcas. Desactiva la opción de instalar aplicaciones desde el navegador y no pulses en enlaces recibidos por mensajería si no has verificado su origen.
En el plano avanzado, utiliza un antivirus con análisis del comportamiento, que detecte abuso de accesibilidad y automatizaciones sospechosas. Aplica perfiles de MDM en entornos corporativos para aislar datos de trabajo, controlar políticas de instalación y forzar VPN cuando sea preciso. Añade protección de DNS, registros de auditoría y alertas de actividad, y segmenta el acceso a servicios críticos con autenticación fuerte y aprobaciones condicionadas.
Imagen generada por IA con licencia de Freepik
Para cuentas financieras, habilita 2FA con llaves de seguridad o aplicaciones de código, evita los SMS cuando sea posible y establece límites de transferencia en la banca. Configura notificaciones en tiempo real de movimientos y activa el bloqueo por ubicación o por dispositivo no reconocido. Si sospechas de actividad ATS, corta la conectividad, notifica al banco y procede a un restablecimiento de fábrica antes de reintroducir credenciales.
La capacitación continua es clave. Simula escenarios de phishing y de permisos engañosos para que usuarios y plantillas reconozcan señales de riesgo. La combinación de hábitos sólidos, controles técnicos y respuesta rápida reduce de forma drástica la probabilidad de que RatOn logre su objetivo.
Detectando a RatOn: Señales de alerta en tu dispositivo Android
Existen síntomas tempranos que pueden delatar la presencia de RatOn. Observa si aparecen solicitudes insistentes para activar el servicio de accesibilidad o para otorgar privilegios de administrador a una app desconocida. Fíjate en iconos que desaparecen tras la instalación, consumo anómalo de batería, calentamiento del dispositivo y uso de datos elevado cuando el teléfono está en reposo.
Imagen generada por IA con licencia de Freepik
Revisa en Ajustes las secciones de accesibilidad, administración del dispositivo y aplicaciones con permiso para mostrarse sobre otras. Si detectas nombres genéricos como “Actualizador”, “Servicio del sistema” o variantes de TikTok18+ que piden permisos fuera de lo normal, desinstala o revoca permisos. Comprueba si Play Protect aparece desactivado sin tu intervención y si hay notificaciones bancarias que no reconoces.
Otras señales incluyen bloqueos de pantalla inesperados, ventanillas superpuestas que cubren la app bancaria y solicitudes de OTP repetidas. Si el teclado se comporta de forma extraña, el teléfono escribe solo o se abren apps sin que intervengas, la accesibilidad podría estar siendo abusada. En ese caso, corta la conexión, guarda evidencias y busca ayuda técnica para confirmar la infección.
Para usuarios avanzados o equipos de seguridad, la inspección de tráfico saliente hacia dominios desconocidos y el análisis de registros del sistema pueden aportar indicios. En ámbitos empresariales, habilitar alertas de EDR móvil y correlación de eventos acelera el hallazgo. La detección temprana marca la diferencia entre un susto controlado y una pérdida económica mayor.
Reacción de las autoridades frente a la amenaza de RatOn
Las autoridades y organismos de respuesta han intensificado las alertas, con avisos a ciudadanía y empresas sobre campañas de ingeniería social asociadas a RatOn. Equipos como CERT nacionales y la policía especializada colaboran con entidades financieras para compartir indicadores de compromiso y patrones de ATS. Esta coordinación busca bloquear dominios, desmantelar infraestructuras de comando y control y actualizar las firmas de detección.
Los bancos están reforzando controles de comportamiento en las apps móviles y ajustando procesos de verificación. En muchos casos aplican autenticaciones adicionales cuando detectan señales de accesibilidad activa o transacciones que no encajan con el perfil habitual del cliente. También instruyen a sus equipos de atención para tramitar con rapidez bloqueos y reversos cuando la víctima actúa de forma diligente.
Desde el entorno regulatorio, se promueven campañas de concienciación y guías de buenas prácticas para entornos domésticos y corporativos. Se recomienda a las organizaciones mantener inventarios de dispositivos, políticas de MDM, formación recurrente y simulacros de respuesta a incidentes. A nivel técnico, los proveedores de seguridad móvil y Google han incorporado detecciones específicas para patrones de abuso de accesibilidad y flujos ATS.
Si eres víctima, la recomendación oficial pasa por reportar de inmediato al banco y denunciar el caso ante las autoridades, aportando evidencia digital. Esta información alimenta investigaciones, ayuda a perfilar al grupo NFSkate y respalda acciones de retirada de dominios o bloqueo de monederos cripto. La colaboración ciudadana y empresarial es esencial para cortar las cadenas de infección y minimizar el impacto colectivo.
Contacto
Si has leído sobre el troyano Raton y su capacidad para comprometer la seguridad de los dispositivos Android, no dejes que esta amenaza te sorprenda. En Wifilinks, ofrecemos asesoramiento personalizado para proteger tu información y asegurarte de que tu red esté a salvo. Recuerda que los ataques cibernéticos están en aumento y contar con la tecnología adecuada puede ser tu mejor defensa. Si buscas soluciones efectivas en ciberseguridad o cómo mejorar tus sistemas de comunicación, no dudes en contactarnos.
- 📞 Teléfono: 960 260 360
- ✉️ Correo electrónico: info@wifilinks.es
- 📍 Dirección: Pl. País Valencia, 25, 46760 Tavernes de la Valldigna, Valencia
- 🌐 Sitio web: www.wifilinks.es
No subestimes la importancia de proteger tus dispositivos móviles, cada día está en juego tu dinero y tu información personal. Actúa ahora y permite que Wifilinks te ayude a establecer una línea de defensa robusta. Al ponerte en contacto con nosotros hoy, darás un paso crucial hacia un entorno digital más seguro para ti y los tuyos.
Fuente: www.threatfabric.com
