La escena del malware móvil en Android no para de moverse y, en ese tablero, RatOn se ha convertido en la pieza más inquietante del momento. Este troyano ha dado un salto cualitativo al combinar fraudes financieros automatizados, superposiciones que imitan apps bancarias y ataques de NFC relay, un trío que le permite robar credenciales y fondos con una eficacia que preocupa a investigadores y bancos.
Lejos de ser otro refrito, RatOn ha sido desarrollado desde cero y evoluciona a gran velocidad: apareció a principios de julio de 2025 y ya presentó variantes a finales de agosto, algo que apunta a una operación viva, con recursos y con la vista puesta en expandirse más allá de su radio inicial en Europa Central.
Qué es RatOn y por qué debería preocuparte
RatOn irrumpió tras una investigación de ThreatFabric sobre otra amenaza vinculada con pagos sin contacto y pronto quedó claro que no heredaba código de familias conocidas. Empezó como una herramienta para ataques de relay NFC y rápidamente incorporó funciones de RAT (troyano de acceso remoto) y ATS (sistema de transferencias automáticas).
La combinación es delicada: ataques de overlay que clavan el aspecto de apps financieras, automatización para mover dinero sin intervención del usuario y la capacidad de relé NFC mediante el módulo descargado NFSkate, una pieza empleada para la técnica Ghost Tap documentada en 2024.
Los primeros rastros firmes datan del 5 de julio de 2025, y se han visto muestras nuevas tan recientes como el 29 de agosto de 2025. La cadencia de versiones sugiere un desarrollo activo y una organización que prueba, ajusta y vuelve a lanzar.
Cómo se propaga y qué permisos solicita
El vector inicial más repetido pasa por aplicaciones falsas promocionadas como “TikTok18+”. Se han detectado tanto páginas de aterrizaje que simulan la Play Store como listados que redirigen a instaladores externos, buscando que la víctima active el sideload y confíe en la instalación. También se ha observado la presencia de apps fraudulentas que se hacen pasar por versiones de TikTok para adultos para ganar descargas rápidas.
Nada más instalarse, la aplicación trampa empuja al usuario a otorgar privilegios como Servicios de accesibilidad y Administrador del dispositivo, además de permisos para instalar apps de terceros, leer/modificar contactos y ajustar parámetros del sistema. Esa combinación abre la puerta a la automatización de pantallas, pulsaciones y flujos bancarios.
Tras ese primer paso, la cadena de infección suele descargar NFSkate, el componente que permite ataques de NFC relay aplicando Ghost Tap, una técnica que replica interacciones sin contacto a distancia. Para detectarlo puedes usar MVT en Android.
Ataques a banca y criptomonedas: de la superposición al vaciado
Una vez dentro, RatOn despliega superposiciones que imitan a la perfección las interfaces de apps financieras, guiando al usuario para que entregue credenciales o PINS sin sospechar. Esto incluye objetivos de alto valor como MetaMask, Trust Wallet, Blockchain.com y Phantom, donde la intención final es acceder a carteras, extraer frases semilla y alterar medidas de seguridad. Es un patrón frecuente en malware que roba datos bancarios en Android.
En paralelo, el componente ATS (Automated Transfer System) puede lanzar transferencias bancarias sin interacción humana, abusando de flujos de apps locales como George Česko en República Checa. Para lograrlo, RatOn registra pulsaciones (keylogging), fuerza aperturas de apps y reutiliza PINS robados, todo ello mientras muestra al usuario pantallas falsas de bloqueo con mensajes tipo ransomware para distraerle.
Este engaño visual funciona como una cortina: mientras la víctima cree que su móvil está secuestrado, los operadores ejecutan movimientos de dinero o extraen claves de recuperación. Es una táctica vista en otras familias como HOOK, pero aquí se integra con la automatización financiera y el módulo NFC, elevando el listón.
Capacidades de control remoto y comandos típicos
RatOn actúa como un RAT completo, similar a otros malware espía, aceptando órdenes que permiten desde manipular el dispositivo hasta orquestar fraude financiero. Entre las capacidades observadas destacan envío de notificaciones falsas, grabación de pantalla, envío de SMS mediante accesibilidad, cambios en el bloqueo de pantalla, e incluso interacciones con aplicaciones sociales como WhatsApp y Facebook.
En algunas muestras se han catalogado comandos como send_push (notificaciones), transfer (ATS para iniciar transferencias), nfs (descarga y ejecución de NFSkate), record (captura de pantalla en tiempo real), send_sms (envío de SMS con accesibilidad) y screen_lock (ajustes de bloqueo). La amplitud de órdenes remotas indica un control fino del dispositivo comprometido.
Áreas afectadas, ritmo de desarrollo y mulas
Hasta ahora, el foco de RatOn se localiza en la República Checa, con señales de que Eslovaquia será el siguiente objetivo natural. La elección no parece casual: las transferencias automáticas requieren, a menudo, cuentas locales y mulas domésticas que faciliten mover el dinero robado sin levantar sospechas.
En cuanto al ciclo de vida, el salto de julio a finales de agosto de 2025 con variantes nuevas deja claro que la operación está activa, probando técnicas y adaptándose. En varias fuentes se ha descrito incluso que parte de la actividad encaja con una fase de pruebas sobre usuarios checos, lo que explicaría el foco geográfico tan acotado.
Dónde encaja RatOn frente a otros troyanos Android
El ecosistema Android arrastra una larga lista de amenazas y, para situar a RatOn, viene bien comparar. Triada es un clásico: un RAT que roba datos sensibles (contraseñas, tarjetas) y que modifica el sistema para persistir y dificultar la detección. Redirige tráfico a sitios maliciosos, intercepta SMS y ejecuta phishing, centrado en comprometer cuentas bancarias.
En la misma liga de control remoto tenemos AIRAVAT, un troyano con un abanico muy amplio de funciones: puede escalar a privilegios de administrador, ejecutar comandos de shell, ver y exfiltrar ficheros, leer notificaciones y SMS, hacer keylogging, grabar audio y manipular elementos del dispositivo. Se ejecuta en segundo plano, se activa tras reinicios y puede usar SMS salientes para fraudes.
Por su parte, AhMyth ilustra bien el enfoque en el robo silencioso de información: se distribuye mediante apps señuelo (grabadoras, descargadores, citas, cripto y juegos), pide permisos agresivos para persistir y luego recoge datos por múltiples vías (teclado, capturas, cámara, micrófono, SMS y geolocalización). Apunta a credenciales bancarias y de criptomonedas, y a OTP recibidas por SMS, por lo que desaconseja usar ese segundo factor cuando sea posible.
En el frente más cercano a RatOn aparece PlayPraetor, una botnet Android con más de 11.000 dispositivos comprometidos y campañas que aprovechan servicios de accesibilidad y overlays sobre cientos de apps bancarias. Se distribuye con páginas fraudulentas que simulan Google Play, propagadas vía Meta Ads y SMS. Maneja varias variantes (PWA, WebView, Phantom con ODF, esquemas de phishing por invitación, y módulos RAT como EagleSpy/SpyNote) y opera como MaaS con afiliados, dos de ellos controlando cerca del 60% de la red. En lo técnico, usa HTTP/HTTPS, WebSocket y RTMP para vídeo en directo de la pantalla, lo que encaja con un control remoto avanzado.
El panorama se completa con ToxicPanda, BingoMod o GoatRAT, familias recientes centradas en fraude en el dispositivo (ODF) y transferencias automáticas, con capacidades para evadir controles de seguridad o, incluso, limpiar evidencias tras el robo. La tendencia es clara: menos robo de credenciales pasivo y más automatización para mover dinero en caliente.
Señales de infección y posibles consecuencias
En dispositivos afectados por RATs móviles, las pistas suelen repetirse. Rendimiento que se degrada sin motivo aparente, cambios en ajustes del sistema, aumento acusado de consumo de batería y datos y la aparición de aplicaciones desconocidas o anuncios intrusivos son banderas rojas que no conviene ignorar.
Si el malware avanza, las consecuencias abarcan desde pérdidas de privacidad y robo de identidad hasta desplazamiento de fondos bancarios o criptográficos. En el caso de RatOn, el ATS unido a overlays y accesibilidad convierte cualquier descuido en un impacto financiero directo.
Buenas prácticas y mitigación: qué funciona realmente
Para reducir la superficie de ataque, hay medidas que conviene tener por defecto. Evitar la instalación desde orígenes desconocidos y recelar de apps “demasiado buenas para ser verdad” es básico. Mantén Google Play Protect activado (aunque no cubra por completo el sideload) y apóyate en soluciones de seguridad móviles reputadas para añadir otra capa.
El permiso de Accesibilidad debe ser excepcional y temporal, sólo para apps de plena confianza. Revisar periódicamente qué software lo tiene habilitado y revocarlo si no es imprescindible corta de raíz gran parte del vector de automatización. La verificación en dos pasos es recomendable, y mejor si evitas OTP por SMS cuando existan alternativas más robustas (aplicadores TOTP o llaves de seguridad).
Medidas de contención y limpieza en Android
Si sospechas de infección, hay una serie de acciones que pueden ayudarte a recuperar el control sin precipitarte. Desinstalar apps sospechosas desde Ajustes es el primer paso; si el sistema no te deja, reinicia en Modo Seguro para bloquear apps de terceros y vuélvelo a intentar.
- Privilegios de administrador: revisa en Seguridad/Administración qué apps tienen ese estatus y deshabilítalo en las que no reconozcas.
- Historial y datos del navegador: en Chrome y Firefox, borra datos de navegación (incluyendo opciones avanzadas) y valora restablecer el navegador si persisten redirecciones o notificaciones molestas.
- Notificaciones del navegador: en los ajustes del sitio, revoca permisos de notificación otorgados a webs que envían pop-ups intrusivos.
- Uso de batería y datos: identifica apps que consumen en exceso sin uso aparente; puede delatar actividad oculta.
- Actualizaciones del sistema: instala parches de seguridad y activa la descarga automática de actualizaciones.
- Restablecimiento de fábrica: si el compromiso es severo, un wipe completo devolverá el sistema a valores de fábrica (haz copia de seguridad antes).
Sobre herramientas de desinfección, los motores antivirus móviles de marcas reconocidas ayudan a detectar y eliminar familias comunes. Algunos proveedores recomiendan soluciones concretas (por ejemplo, se cita Combo Cleaner en ciertos informes); en cualquier caso, realiza un análisis completo y actualiza firmas antes de decidir.
