Noticia El troyano RatOn y sus peligros para Android: cómo opera y cómo protegerte

El troyano RatOn para Android se ha colocado en el centro del radar de la ciberseguridad por combinar varias técnicas que rara vez se ven juntas en móviles. En cuestión de semanas ha pasado de ser una herramienta enfocada a la retransmisión NFC a convertirse en un troyano de acceso remoto con automatización de transferencias, superposiciones y funciones tipo ransomware, algo que en móviles es especialmente inquietante y deja a los usuarios expuestos a robo de dinero y pérdida de control del dispositivo, por eso conviene usar apps para mejorar la seguridad.

Según los análisis publicados por especialistas, RatOn habría sido desarrollado desde cero, sin heredar código de familias conocidas. Esta característica complica su detección inicial y explica por qué, pese a su juventud, ya se le atribuye un potencial de daño elevado. Las primeras señales firmes de su campaña aparecieron a inicios de julio de 2025 y se detectaron nuevos artefactos a finales de agosto de ese mismo año, confirmando que los atacantes siguen perfeccionando sus capacidades y mantienen el proyecto vivo y en evolución.

¿Qué es el troyano RatOn y por qué es distinto?​

RatOn es un troyano bancario para Android con naturaleza de RAT, es decir, un software malicioso que permite a los atacantes controlar el teléfono de la víctima de forma remota. Lo novedoso no es solo el control, sino la suma de técnicas avanzadas en un mismo paquete: ataques de superposición de pantallas, sistema de transferencias automatizadas, retransmisión NFC, bloqueo del dispositivo con fines de extorsión y funciones de registro de todo lo que se teclea. Todo esto se orquesta con una lista amplia de comandos que le otorgan flexibilidad para actuar de diferentes maneras, dependiendo de los objetivos del atacante y del entorno de la víctima.

Los analistas remarcan que no se han encontrado similitudes de código significativas con otros troyanos bancarios móviles. Esto sugiere un desarrollo propio que, más allá del problema técnico, también tiene implicaciones de detección, ya que los motores de seguridad no pueden basarse en firmas previas para bloquearlo con facilidad.

Cómo se distribuye: señuelos atractivos y páginas falsas​

La campaña observada ha recurrido a dominios que imitan la experiencia de la tienda oficial y a ganchos con contenido para adultos. El reclamo principal detectado es una supuesta app llamada TikTok18+, en apariencia pensada para Android y orientada a atraer a usuarios de habla checa y eslovaca. Tras convencer a la víctima, las páginas falsas piden instalar el paquete desde orígenes externos, abriendo la puerta a la cadena de infección y saltándose así las protecciones habituales de Google.

No se ha clarificado del todo el canal por el que llegan los usuarios a estos dominios, pero es razonable pensar en técnicas de ingeniería social habituales como anuncios engañosos, mensajes con promesas de contenido exclusivo y enlaces sembrados en sitios dudosos. La clave es que, una vez lograda la descarga del instalador, el resto del proceso se vuelve mucho más difícil de frenar para un usuario medio, porque las acciones que se solicitan pueden parecerle normales.

Cadena de infección por etapas: del dropper a la carga útil avanzada​

La infección arranca con un instalador malicioso, un dropper que pide permiso para instalar aplicaciones de fuentes desconocidas. Este primer paso, que a algunos les sonará inocuo, es en realidad el desencadenante que permite que el malware real aterrice en el dispositivo. Acto seguido, el proceso solicita permisos críticos: servicio de accesibilidad, privilegios de administrador, lectura y escritura de contactos y capacidad para gestionar la configuración del sistema. Con ese conjunto de permisos, el atacante puede operar con libertad, modificar ajustes, conceder nuevos permisos a sus módulos y permanecer persistente.

En una segunda etapa se despliega la carga útil principal que habilita el control remoto y las capacidades bancarias avanzadas. Y en una tercera fase se descarga un componente especializado para retransmisión NFC llamado NFSkate, también mencionado como NGate. Este módulo es una variante basada en una herramienta legítima de investigación conocida como NFCGate, que en manos maliciosas permite retransmitir datos de pago de forma remota. La técnica relacionada, denominada Ghost Tap, fue documentada por ESET en agosto de 2024, y RatOn la integra como pieza de su arsenal para ampliar su alcance más allá de la simple captura de credenciales.

Cómo funciona la retransmisión NFC que habilita el fraude​

La retransmisión NFC consiste en usar dos dispositivos para engañar a un terminal de pago. Uno, cercano a la víctima, captura los datos del medio de pago sin contacto; el otro, donde está físicamente el estafador, retransmite esos datos a un TPV para completar la transacción. El troyano RatOn, con su módulo dedicado, permite que un teléfono infectado actúe como capturador, de modo que el atacante recibe la información en tiempo real y la utiliza para realizar cargos a distancia. En términos prácticos, esto implica que el móvil comprometido puede ser la pasarela que habilita la estafa sin que la víctima lo perciba, sobre todo si el dispositivo está desbloqueado y con NFC activo en momentos críticos.

Superposiciones, ATS y toma de control de apps financieras​

RatOn domina los ataques de superposición, colocando pantallas falsas sobre aplicaciones legítimas. Este enfoque permite clonar la interfaz de una app bancaria o de pagos para capturar PIN, contraseñas y códigos de verificación. Gracias al servicio de accesibilidad y a los privilegios de administración, el malware puede interactuar con los elementos de la interfaz, pulsar botones, confirmar operaciones y navegar por menús como si fuera el usuario, haciendo que la víctima crea que está en la app real.

Su función de ATS, sistema de transferencias automatizadas, destaca por la capacidad de reconocer flujos de aplicaciones financieras e introducir información robada para completar envíos de dinero. Se han observado automatizaciones específicas contra George Česko, una app bancaria popular en República Checa, lo que explica parte del enfoque geográfico de la campaña. Esta automatización reduce el tiempo necesario para vaciar cuentas y, combinada con el robo de credenciales, permite operaciones sin apenas intervención de la víctima.

La toma de cuentas no se limita a banca tradicional. El troyano RatOn apunta también a monederos de criptomonedas populares como MetaMask, Trust Wallet, Blockchain punto com y Phantom. Una vez que el malware obtiene el PIN o la frase de recuperación, es capaz de abrir la app, desbloquearla, navegar hacia las secciones de seguridad y extraer las frases secretas, habilitando así el robo de activos. Esta capacidad multimonedero y multilenguaje sugiere una intención clara de escalar a nuevos mercados, aprovechando la trazabilidad limitada de ciertos criptoactivos.

Comportamientos de ransomware y extorsión psicológica​

Además del robo y el control, RatOn incluye funciones para bloquear el dispositivo y mostrar páginas superpuestas con mensajes de rescate. En algunos casos, las pantallas falsas acusan a la víctima de ver o distribuir material ilegal y exigen un pago de 200 dólares en criptomonedas en menos de dos horas para recuperar el acceso. Más allá de la amenaza, lo significativo es el objetivo real: presionar a la persona para que abra una app de criptomonedas específica y complete una transferencia, momento en el que el malware registra el PIN y se hace con las claves de la cuenta, logrando así el secuestro sin que la víctima lo sospeche.

Se ha observado que otras familias, como una variante del troyano HOOK para Android, han incorporado pantallas de superposición con estética de ransomware, lo que refuerza la idea de que estas técnicas de presión psicológica se están estandarizando en el cibercrimen móvil. RatOn emplea esa misma vía para conseguir rapidez en la monetización y confundir a los usuarios respecto a lo que realmente está ocurriendo en su dispositivo, multiplicando las posibilidades de éxito del fraude.

Lista de comandos observados y para qué sirven​

Una de las fortalezas del troyano RatOn es su lista de órdenes remotas, que facilitan el control a distancia. Entre los comandos identificados se incluyen los siguientes, que ilustran su alcance y versatilidad operativa, desde la suplantación hasta el bloqueo del terminal:

• send_push: envía notificaciones push falsas al usuario.
• screen_lock: ajusta el tiempo de espera de la pantalla de bloqueo.
• WhatsApp: inicia la aplicación para interactuar o espiar flujos de comunicación.
• app_inject: modifica la lista de aplicaciones financieras objetivo para superposiciones.
• update_device: remite la lista de apps instaladas y datos del dispositivo.
• send_sms: envía SMS aprovechando el servicio de accesibilidad.
• Facebook: abre la app con fines de fraude o captura de datos.
• nfs: descarga y ejecuta el APK de NFSkate para retransmisión NFC.
• transferir: ejecuta ATS contra flujos como los de George Česko.
• bloquear: bloquea el dispositivo usando privilegios de administración.
• add_contact: crea nuevos contactos en la agenda de la víctima.
• grabar: inicia una sesión de transmisión o grabación de pantalla.
• pantalla: activa o desactiva la transmisión de pantalla cuando el atacante lo ordena.

Adicionalmente, los investigadores señalan acciones como simular un clic en el botón Inicio, modificar el portapapeles o enviar el estado de la pantalla en tiempo real, lo que complementa sus funciones de keylogger. Con todo este repertorio, el atacante puede ejecutar cadenas completas de fraude sin levantar sospechas, automatizando pasos que en otros troyanos requerían intervención manual.

Ámbito, cronología y actores detrás de la campaña​

Las evidencias apuntan a que la actividad afecta principalmente a usuarios de Europa Central, con mayor impacto en República Checa y Eslovaquia. Las primeras muestras vinculadas a RatOn se datan el 5 de julio de 2025, con nuevas piezas identificadas el 29 de agosto de 2025, lo que deja ver un desarrollo continuo. La atribución técnica señala a un grupo conocido como NFSkate, que habría alojado las aplicaciones maliciosas en múltiples dominios con señuelos muy específicos, dirigidos a públicos concretos y con idiomas locales.

Los informes publicados por firmas de seguridad móviles especializadas han sido clave para documentar la aparición de RatOn, así como para detallar su naturaleza modular y su evolución desde una herramienta de retransmisión NFC a un troyano bancario con automatización completa. La constatación de que ha sido creado desde cero lo distingue de clones o variantes oportunistas, añadiendo complejidad a su estudio y a su neutralización.

Indicadores y señales de alerta para el usuario​

Varias conductas pueden sugerir la presencia de RatOn o de un troyano similar. Por ejemplo, solicitudes insistentes para otorgar permisos de accesibilidad, lectura y escritura de contactos, administración del dispositivo y control de configuraciones del sistema. También es sospechoso el cambio del tiempo de bloqueo de pantalla sin intervención del usuario, la aparición de notificaciones push no esperadas y la superposición de pantallas que piden credenciales sensibles, sobre todo si se muestran sobre apps bancarias o de criptomonedas.

Si se detectan aplicaciones instaladas recientemente fuera de la tienda oficial o si el dispositivo pide con frecuencia activar la instalación desde orígenes desconocidos, conviene extremar la cautela. Otra bandera roja es la presencia de páginas que imitan la tienda de Google y prometen versiones modificadas de servicios populares con contenido adulto, porque son vías recurrentes de distribución en estas campañas, que apelan a la curiosidad para forzar descargas impulsivas.

¿Qué hacer si sospechas infección en tu móvil?​

Ante la sospecha fundada de infección hay pasos concretos que reducen el daño. A continuación se detalla un protocolo básico, construido a partir de recomendaciones profesionales, que te puede ayudar a cortar la comunicación con los atacantes y recuperar el control del dispositivo, manteniendo a salvo tus cuentas y datos personales:

• Desconecta del internet: desactiva datos móviles y Wi Fi para impedir que el malware se comunique con su servidor.
• No interactúes con mensajes o indicaciones sospechosas: evita pulsar en enlaces o abrir adjuntos APK.
• Quita permisos sospechosos: revisa en Ajustes los accesos de administrador y de accesibilidad y revócalos sin seguir instrucciones externas.
• Arranca en modo seguro: así previenes que las apps de terceros se ejecuten al iniciar.
• Escanea con antimalware reputado: usa Play Protect o soluciones conocidas de seguridad móvil.
• Desinstala apps desconocidas o recientes: desde Ajustes en el apartado de Aplicaciones; si no te deja, busca ayuda profesional.
• Cambia contraseñas y activa 2FA: hazlo desde otro dispositivo limpio, empezando por correo, banca y monederos.
• Copia de seguridad y restablecimiento de fábrica: si persisten los indicios, valora hacer copia de seguridad y restaurar el terminal a ajustes de fábrica.
• Contacta con tu banco: bloquea cuentas o tarjetas si detectas accesos irregulares o transferencias no autorizadas.
• Pide soporte profesional: imprescindible si es un teléfono de empresa o contiene información sensible.

Buenas prácticas para reducir el riesgo​

Más vale prevenir que curar, y en el mundo móvil eso significa cuidar de dónde instalas y qué permisos concedes. Prioriza siempre la descarga de apps desde tiendas oficiales como Google Play, desconfía de dominios desconocidos y rehúye enlaces que prometen versiones especiales de apps populares. Antes de aceptar cualquier permiso, piensa si tiene sentido para la función de la aplicación, y evita a toda costa conceder privilegios de administrador o accesibilidad a herramientas que no estén verificadas, porque son el atajo favorito de los troyanos para dominar tu teléfono. También considera cifrar tu móvil para añadir una capa más de protección.

Si notas comportamientos fuera de lo normal, actúa rápido. Un restablecimiento de fábrica a tiempo y la llamada inmediata a tu entidad financiera pueden marcar la diferencia entre un susto y un problema serio. Y si gestionas entornos empresariales, plantéate servicios especializados de ciberseguridad, ya que estas amenazas evolucionan deprisa y requieren defensas proactivas, controles antifraude y supervisión continua.

Contexto, referencias y otras amenazas relacionadas​

La documentación pública sobre el troyano RatOn atribuye la investigación a firmas de seguridad móvil y detalla que el grupo NFSkate habría alojado los artefactos en dominios con señuelos como TikTok18+. Se incluyen referencias a la técnica Ghost Tap descrita por ESET en 2024 y a la presencia de pantallas tipo ransomware ya vistas en variantes de HOOK, lo que encaja con la evolución reciente del fraude móvil, donde se combinan superposiciones con automatizaciones de alto nivel. También ayuda a entender por qué los parches de seguridad y la gestión de vulnerabilidades son relevantes frente a estas amenazas, como explican artículos sobre parche de seguridad.

En algunos artículos se hace mención a otras piezas del panorama, como Crocodilus, un malware bancario en expansión, y a contenidos que exploran la observabilidad de bases de datos en banca como parte de la transformación digital. Aunque no son parte directa de RatOn, ayudan a entender por qué el sector financiero es un objetivo prioritario y por qué la monitorización avanzada es clave frente a ataques de este tipo, especialmente cuando el enemigo puede tomar el control del dispositivo del cliente.

Notas adicionales observadas en las fuentes​

Se han visto datelines y créditos como Madrid 12 Sep Portaltic barra EP, así como menciones a recursos fotográficos tipo Recurso de ratón en Unsplash, Frenjamin Benklin. Esto no afecta al análisis técnico, pero indica que la historia ha saltado a medios generalistas con cobertura amplia, señal inequívoca de que el tema preocupa por su potencial impacto.

Capacidad de evolución y riesgo futuro​

El hecho de que RatOn haya pasado en poco tiempo de retransmisión NFC a ATS y superposiciones sugiere que los actores detrás del proyecto dominan el funcionamiento interno de las apps atacadas. Los comentarios técnicos apuntan a un conocimiento detallado de interfaces bancarias y de criptomonedas, incluida la navegación hacia secciones de seguridad para exfiltrar frases semilla. Con una base de código propia y una arquitectura modular, no sería extraño ver nuevos módulos o verticales de ataque sumarse en breve, incluida la ampliación de idiomas y bancos objetivo.

Donde hay más usuarios, hay más incentivos para innovar por parte del cibercrimen, y el móvil, con su mezcla de banca, comunicaciones y pagos cercanos, concentra un volumen de datos y de operaciones que resulta irresistible para los atacantes. Por eso, a nivel individual y corporativo, es tan importante endurecer la superficie de ataque con prácticas de mínima confianza y capacitación de usuarios, para cortar la ingeniería social antes de que empiece la cadena de infección.

Servicios y apoyo especializado​

En el ecosistema actual muchas empresas buscan apoyo experto para reducir riesgo operativo frente a amenazas como RatOn. Hay proveedores que ofrecen despliegues y monitorización proactiva, o incluso apps como Prey para fortalecer tu Android, con el objetivo de detectar comportamientos anómalos, endurecer dispositivos y proteger transacciones, lo que ayuda a mitigar pérdidas y a responder con rapidez.

Entre las compañías citadas en algunos artículos figura E dea como actor que propone soluciones, un ejemplo de cómo el sector ha reaccionado ante este tipo de troyanos móviles y cómo se pueden articular defensas por capas.

También conviene recordar que, aunque a menudo el foco se pone en el malware, la huella de exposición está muy ligada a hábitos cotidianos. Evitar la instalación desde orígenes desconocidos, no caer en reclamos de contenido adulto o en supuestas versiones mejoradas de apps populares, y fijarse en los permisos son barreras sencillas pero efectivas.

Mentiras sobre el troyano RatOn​

En el mismo ecosistema mediático han circulado noticias de engaños y fenómenos virales sin relación técnica con RatOn, como la llamada estafa del me gusta o curiosidades visuales de interfaces en iOS, que muestran hasta qué punto los reclamos sociales pueden dirigir el tráfico a donde el atacante quiere y alimentar descargas impulsivas.

RatOn ha demostrado que el móvil puede ser el puente perfecto entre ingeniería social, robo de credenciales, retransmisión NFC y automatización completa de transferencias. Si a esto le sumamos la capacidad de bloquear el terminal y presionar con pantallas de rescate, el cóctel es delicado. Lo sensato es reforzar los hábitos de seguridad, mantenerse atento a permisos y orígenes de instalación y tener a mano un plan de respuesta.

Con una combinación de prudencia del usuario, controles técnicos y, cuando proceda, apoyo profesional, las posibilidades de caer en la trampa disminuyen y la capacidad de reacción mejora considerablemente. Comparte la información para que más personas conozcan sobre el troyano RatOn y que hacer para evitarlo.

Continúar leyendo...