Um novo malware para Android chamado RatOn evoluiu de uma ferramenta básica capaz de realizar ataques de relay via Near Field Communication (NFC) para um sofisticado trojan de acesso remoto com capacidades de Automated Transfer System (ATS), utilizado para fraudes em dispositivos.
"O RatOn combina ataques tradicionais de overlay com transferências automáticas de dinheiro e funcionalidade de relay NFC – tornando-se uma ameaça singularmente poderosa", afirmou a empresa holandesa de segurança mobile em um relatório divulgado hoje.
O trojan bancário vem equipado com funções de account takeover direcionadas a aplicativos de carteira de criptomoedas como MetaMask, Trust, Blockchain.com e Phantom, além de ser capaz de realizar transferências automáticas abusando do George Česko, um aplicativo bancário utilizado na República Tcheca.
Além disso, ele pode realizar ataques semelhantes a ransomware utilizando páginas de overlay customizadas e bloqueio do dispositivo.
Vale destacar que uma variante do trojan HOOK para Android também foi observada incorporando telas de overlay no estilo ransomware para exibir mensagens de extorsão.
A primeira amostra distribuindo o RatOn foi detectada em ambiente real em 5 de julho de 2025, com mais artefatos encontrados tão recentemente quanto em 29 de agosto de 2025, indicando que o desenvolvimento pelos operadores ainda está ativo.
O RatOn tem utilizado páginas falsas da Play Store disfarçadas como uma versão adulta do TikTok (TikTok 18+) para hospedar aplicativos dropper maliciosos que entregam o trojan.
Ainda não está claro como os usuários são atraídos para esses sites, mas a atividade tem como alvo principal falantes de tcheco e eslovaco.
Após a instalação do aplicativo dropper, ele solicita permissão ao usuário para instalar apps de fontes terceirizadas, contornando importantes mecanismos de segurança do Google que impedem o abuso dos serviços de acessibilidade do Android.
O payload da segunda etapa passa a solicitar acesso de administração do dispositivo e serviços de acessibilidade, bem como permissões para ler e gravar contatos e gerenciar configurações do sistema para habilitar suas funcionalidades maliciosas.
Isso inclui conceder a si mesmo permissões adicionais conforme necessário e fazer o download de um malware de terceira etapa, que nada mais é do que o NFSkate, capaz de realizar ataques de relay NFC usando uma técnica chamada Ghost Tap.
Essa família de malware foi documentada pela primeira vez em novembro de 2024.
"As funcionalidades de account takeover e transferências automáticas demonstram que o atacante conhece muito bem o funcionamento interno dos aplicativos-alvo", explicou a ThreatFabric, descrevendo o malware como construído do zero e sem nenhuma semelhança de código com outros malwares bancários para Android.
E não para por aí.
O RatOn também pode exibir telas de overlay que se assemelham a notas de resgate, afirmando que o telefone do usuário foi bloqueado por visualizar e distribuir pornografia infantil, exigindo pagamento de US$ 200 em criptomoeda para desbloqueio em até duas horas.
Suspeita-se que essas notas de resgate tenham o objetivo de induzir um falso senso de urgência e coagir a vítima a abrir os aplicativos de criptomoedas, realizar a transação imediatamente, permitindo que os invasores capturem o código PIN do dispositivo no processo.
"Mediante comando correspondente, o RatOn pode abrir o aplicativo de carteira de criptomoedas alvo, desbloqueá-lo usando o PIN roubado, clicar em elementos da interface relacionados às configurações de segurança do app e, na etapa final, revelar frases secretas", detalhou a ThreatFabric sobre os recursos de account takeover.
Os dados sensíveis são então registrados por um componente keylogger e exfiltrados para um servidor externo controlado pelos criminosos, que podem usar as seed phrases para obter acesso não autorizado às contas das vítimas e roubar ativos em criptomoeda.
Alguns comandos notáveis processados pelo RatOn incluem:
- send_push: para enviar notificações push falsas
- screen_lock: para alterar o tempo de bloqueio da tela do dispositivo
- WhatsApp: para abrir o WhatsApp
- app_inject: para modificar a lista de aplicativos financeiros alvo
- update_device: para enviar uma lista de apps instalados junto com a digital do dispositivo
- send_sms: para enviar mensagens SMS usando serviços de acessibilidade
- Facebook: para abrir o Facebook
- nfs: para baixar e executar o malware NFSkate APK
- transfer: para realizar ATS usando o George Česko
- lock: para bloquear o dispositivo usando acesso de administração
- add_contact: para criar um novo contato com nome e número especificados
- record: para iniciar sessão de screen casting
- display: para ligar/desligar o screen casting
"O grupo de ameaças inicialmente focou na República Tcheca, com a Eslováquia provavelmente sendo o próximo país-alvo", afirmou a ThreatFabric.
"O motivo da concentração em um único aplicativo bancário ainda não está claro.
Contudo, o fato de as transferências automatizadas exigirem números de contas bancárias locais sugere uma possível cooperação dos criminosos com money mules locais."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...