Un nuevo malware de Android llamado Ratón ha evolucionado desde una herramienta básica capaz de realizar ataques de retransmisión de comunicación de campo cercano (NFC) a un troyano de acceso remoto sofisticado con capacidades de sistema de transferencia automatizado (ATS) para llevar a cabo fraude de dispositivos.
«Raton fusiona los ataques de superposición tradicionales con transferencias automáticas de dinero y funcionalidad de retransmisión de NFC, por lo que es una amenaza única y poderosa», dijo la compañía de seguridad móvil holandesa en un informe publicado hoy.
El troyano bancario viene equipado con funciones de adquisición de cuentas dirigidas a aplicaciones de billetera de criptomonedas como Metamask, Trust, Blockchain.com y Phantom, al tiempo que también es capaz de llevar a cabo transferencias de dinero automatizadas que abusan de George Česko, una aplicación bancaria utilizada en la República Checa.
Además, puede realizar ataques con forma de ransomware utilizando páginas superpuestas personalizadas y bloqueo de dispositivos. Vale la pena señalar que también se observó que una variante del troyano Android de Hook incorpora pantallas superpuestas estilo ransomware para mostrar mensajes de extorsión.
La primera muestra que distribuyó Raton se detectó en la naturaleza el 5 de julio de 2025, con más artefactos descubiertos tan recientemente como el 29 de agosto de 2025, lo que indica un trabajo de desarrollo activo por parte de los operadores.
Raton ha aprovechado las páginas de listados de Play Store falsos disfrazados de una versión para adultos de Tiktok (Tiktok 18+) para alojar aplicaciones maliciosas que entregan el troyano. Actualmente no está claro cómo se atraen a los usuarios a estos sitios, pero la actividad ha señalado a los usuarios checos y de habla eslovaca.
Una vez que se instala la aplicación Dropper, solicita el permiso del usuario para instalar aplicaciones de fuentes de terceros para evitar medidas de seguridad críticas impuestas por Google para evitar el abuso de los servicios de accesibilidad de Android.
La carga útil de la segunda etapa se realiza para solicitar servicios de administración y accesibilidad de dispositivos, así como permisos para leer/escribir contactos y administrar la configuración del sistema para realizar su funcionalidad maliciosa.
Esto incluye otorgarse permisos adicionales según sea necesario y descargar un malware de tercera etapa, que no es más que el malware NFSKATE que puede realizar ataques de retransmisión NFC utilizando una técnica llamada Ghost Tap. La familia de malware se documentó por primera vez en noviembre de 2024.
«La adquisición de la cuenta y las funciones de transferencia automatizada han demostrado que el actor de amenaza conoce bastante bien las partes internas de las aplicaciones específicas», dijo Denacefabric, que describe el malware como creado desde cero y no comparte similitudes de código con otro malware bancario Android.
Eso no es todo. Raton también puede servir pantallas de superposición que se asemejan a una nota de rescate, alegando que los teléfonos de los usuarios han sido bloqueados para ver y distribuir pornografía infantil y que necesitan pagar $ 200 en criptomonedas para recuperar el acceso en dos horas.
Se sospecha que las notas de rescate están diseñadas para inducir una falsa sensación de urgencia y obligar a la víctima a abrir las aplicaciones de criptomonedas, hacer la transacción de inmediato y permitir a los atacantes capturar el código PIN del dispositivo en el proceso.
«Tras el comando correspondiente, Raton puede iniciar la aplicación de billetera de criptomonedas específica, desbloquearla usando el código PIN robado, haga clic en elementos de interfaz que están relacionados con la configuración de seguridad de la aplicación, y en el paso final, revele frases secretas», dijo Amenazfabric, que detalla las características de consumo de su cuenta.
Los datos confidenciales se registran posteriormente por un componente de Keylogger y se exfiltran a un servidor externo bajo el control de los actores de amenaza, que luego pueden usar las frases de semillas para obtener acceso no autorizado a las cuentas de las víctimas y robar activos de criptomonedas.
Algunos comandos notables procesados por Raton se enumeran a continuación –
- send_push, para enviar notificaciones falsas
- Screen_lock, para cambiar el tiempo de espera de la pantalla de bloqueo del dispositivo a un valor especificado
- Whatsapp, para lanzar whatsapp
- app_inject, para cambiar la lista de aplicaciones financieras específicas
- update_device, para enviar una lista de aplicaciones instaladas con la huella digital del dispositivo
- send_sms, para enviar un mensaje SMS utilizando servicios de accesibilidad
- Facebook, para lanzar Facebook
- NFS, para descargar y ejecutar el malware NFSKATE APK
- Transferir, realizar ATS usando George česko
- bloquear, para bloquear el dispositivo con acceso a la administración de dispositivos
- ADD_CONTACT, para crear un nuevo contacto utilizando un nombre y número de teléfono especificados
- grabar, para iniciar una sesión de casting de pantalla
- visualización, para encender/apagar la fundición de la pantalla
«El grupo de actores de amenazas inicialmente se dirigió a la República Checa, con Eslovaquia probablemente el próximo país de enfoque», dijo Amenazfabric. «La razón detrás de concentrarse en una sola aplicación bancaria sigue sin estar clara. Sin embargo, el hecho de que las transferencias automatizadas requieren números de cuentas bancarias locales sugieren que los actores de amenaza pueden estar colaborando con mulas de dinero locales».