Un nuevo malware de Android llamado Ratón ha evolucionado desde una aparejo básica capaz de realizar ataques de retransmisión de comunicación de campo cercano (NFC) a un troyano de golpe remoto sofisticado con capacidades de sistema de transferencia automatizado (ATS) para tolerar a angla fraude de dispositivos.
“Raton fusiona los ataques de superposición tradicionales con transferencias automáticas de fortuna y funcionalidad de retransmisión de NFC, por lo que es una amenaza única y poderosa”, dijo la compañía de seguridad móvil holandesa en un noticia publicado hoy.
El troyano bancario viene equipado con funciones de adquisición de cuentas dirigidas a aplicaciones de billetera de criptomonedas como Metamask, Trust, Blockchain.com y Phantom, al tiempo que todavía es capaz de tolerar a angla transferencias de fortuna automatizadas que abusan de George Česko, una aplicación bancaria utilizada en la República Checa.
Por otra parte, puede realizar ataques con forma de ransomware utilizando páginas superpuestas personalizadas y sitio de dispositivos. Vale la pena señalar que todavía se observó que una reforma del troyano Android de Hook incorpora pantallas superpuestas estilo ransomware para mostrar mensajes de trastorno.
La primera muestra que distribuyó Raton se detectó en la naturaleza el 5 de julio de 2025, con más artefactos descubiertos tan recientemente como el 29 de agosto de 2025, lo que indica un trabajo de avance activo por parte de los operadores.
Raton ha aplicado las páginas de listados de Play Store falsos disfrazados de una interpretación para adultos de Tiktok (Tiktok 18+) para penetrar aplicaciones maliciosas que entregan el troyano. Actualmente no está claro cómo se atraen a los usuarios a estos sitios, pero la actividad ha señalado a los usuarios checos y de acento eslovaca.
Una vez que se instala la aplicación Dropper, solicita el permiso del favorecido para instalar aplicaciones de fuentes de terceros para evitar medidas de seguridad críticas impuestas por Google para evitar el demasía de los servicios de accesibilidad de Android.
La carga útil de la segunda etapa se realiza para solicitar servicios de compañía y accesibilidad de dispositivos, así como permisos para deletrear/escribir contactos y ordenar la configuración del sistema para realizar su funcionalidad maliciosa.
Esto incluye otorgarse permisos adicionales según sea necesario y descargar un malware de tercera etapa, que no es más que el malware NFSKATE que puede realizar ataques de retransmisión NFC utilizando una técnica llamamiento Ghost Tap. La tribu de malware se documentó por primera vez en noviembre de 2024.
“La adquisición de la cuenta y las funciones de transferencia automatizada han demostrado que el actor de amenaza conoce harto acertadamente las partes internas de las aplicaciones específicas”, dijo Denacefabric, que describe el malware como creado desde cero y no comparte similitudes de código con otro malware bancario Android.
Eso no es todo. Raton todavía puede servir pantallas de superposición que se asemejan a una nota de rescate, alegando que los teléfonos de los usuarios han sido bloqueados para ver y distribuir pornografía de niño y que necesitan avalar $ 200 en criptomonedas para recuperar el golpe en dos horas.
Se sospecha que las notas de rescate están diseñadas para inducir una falsa sensación de emergencia y someter a la víctima a destapar las aplicaciones de criptomonedas, hacer la transacción de inmediato y permitir a los atacantes capturar el código PIN del dispositivo en el proceso.
“Tras el comando correspondiente, Raton puede iniciar la aplicación de billetera de criptomonedas específica, desbloquearla usando el código PIN robado, haga clic en nociones de interfaz que están relacionados con la configuración de seguridad de la aplicación, y en el paso final, revele frases secretas”, dijo Amenazfabric, que detalla las características de consumo de su cuenta.
Los datos confidenciales se registran seguidamente por un componente de Keylogger y se exfiltran a un servidor extranjero bajo el control de los actores de amenaza, que luego pueden usar las frases de semillas para obtener golpe no competente a las cuentas de las víctimas y robar activos de criptomonedas.
Algunos comandos notables procesados por Raton se enumeran a continuación –
- send_push, para mandar notificaciones falsas
- Screen_lock, para cambiar el tiempo de paciencia de la pantalla de sitio del dispositivo a un valía especificado
- Whatsapp, para difundir whatsapp
- app_inject, para cambiar la serie de aplicaciones financieras específicas
- update_device, para mandar una serie de aplicaciones instaladas con la huella digital del dispositivo
- send_sms, para mandar un mensaje SMS utilizando servicios de accesibilidad
- Facebook, para difundir Facebook
- NFS, para descargar y ejecutar el malware NFSKATE APK
- Transferir, realizar ATS usando George česko
- aislar, para aislar el dispositivo con golpe a la compañía de dispositivos
- ADD_CONTACT, para crear un nuevo contacto utilizando un nombre y número de teléfono especificados
- cincelar, para iniciar una sesión de casting de pantalla
- visualización, para encender/apagar la fundición de la pantalla
“El rama de actores de amenazas inicialmente se dirigió a la República Checa, con Eslovaquia probablemente el próximo país de enfoque”, dijo Amenazfabric. “La razón detrás de concentrarse en una sola aplicación bancaria sigue sin estar clara. Sin requisa, el hecho de que las transferencias automatizadas requieren números de cuentas bancarias locales sugieren que los actores de amenaza pueden estar colaborando con mulas de fortuna locales”.
