Un nuevo y sofisticado troyano llamado RatOn fue detectado en dispositivos Android, generando alarma entre usuarios y especialistas de ciberseguridad por su avanzada capacidad de robo bancario, control remoto total del dispositivo y ataques dirigidos a aplicaciones de criptomonedas.
Este programa malicioso representa una de las amenazas móviles más avanzadas y peligrosas de este año 2025, poniendo en riesgo la información personal y financiera de miles de personas que utilizan sus celulares para realizar transacciones diariamente, según análisis de firmas internacionales especializadas.
Características y funcionamiento
RatOn es un troyano bancario y de acceso remoto (RAT, por sus siglas en inglés) que combina técnicas de fraude financiero, espionaje y ransomware en una sola herramienta.
Según el reporte de ThreatFabric, la empresa que identificó la amenaza, «RatOn es una amenaza única por su combinación de ataques NFC, superposiciones de phishing y automatización de transferencias bancarias, capacidades que son prácticamente inéditas en un solo troyano para Android».
Entre sus características técnicas más destacadas se encuentran sus ataques NFC relay, que permiten a los ciberdelincuentes explotar sistemas de pago sin contacto, retransmitiendo datos de tarjetas desde el dispositivo de la víctima a terminales remotos. El control remoto total que otorga a los atacantes incluye acceso completo al dispositivo, permitiéndoles ver la pantalla en tiempo real, grabar audio, capturar imágenes y manipular configuraciones sin que el usuario lo note.
Además, cuenta con capacidad de automatización de transferencias, simulando interacciones humanas en aplicaciones bancarias, introduciendo datos y confirmando transacciones con PINs robados.
El malware también ejecuta ataques a criptomonedas, estando diseñado para robar PINs y frases de recuperación de billeteras como MetaMask, Trust Wallet, Blockchain.com y Phantom, permitiendo el secuestro de cuentas y el robo de activos digitales.
Vías de distribución y zonas más afectadas
RatOn se distribuye principalmente a través de aplicaciones falsas en tiendas no oficiales y sitios web maliciosos, muchas veces disfrazadas como apps populares o con temáticas para adultos como «TikTok 18+». Los usuarios son engañados mediante ingeniería social para instalar el troyano, que solicita permisos avanzados como el acceso a servicios de accesibilidad y administración del dispositivo, lo que dificulta su eliminación.
Las primeras campañas se han detectado en Europa Central, especialmente en República Checa y Eslovaquia, donde RatOn ha atacado a usuarios de la app bancaria George Česko y a hablantes de checo y eslovaco.
Sin embargo, expertos advierten que la amenaza puede expandirse rápidamente a otras regiones con alta penetración de Android y uso de apps bancarias y de criptomonedas, como América Latina, Asia y Europa del Este, representando un riesgo potencial para millones de usuarios.
Consecuencias devastadoras
El impacto de RatOn es severo tanto para usuarios individuales como para empresas. El malware facilita el robo de datos personales y financieros, accediendo a contactos, mensajes, credenciales, datos bancarios y archivos privados, facilitando fraudes, suplantación de identidad y extorsión. Las pérdidas económicas pueden ser cuantiosas, ya que el troyano automatiza transferencias no autorizadas, realiza compras y puede vaciar cuentas bancarias y billeteras de criptomonedas.
Además, funciona como herramienta de espionaje y vigilancia, permitiendo grabar audio, capturar imágenes y rastrear la ubicación del dispositivo, lo que puede ser utilizado para chantaje o espionaje corporativo. Otro efecto negativo es la degradación del dispositivo, ya que el malware consume recursos, instala más software malicioso y puede dejar el teléfono inutilizable. Para empeorar la situación, utiliza los contactos del usuario para enviar enlaces maliciosos y expandirse a otros dispositivos.
Recomendaciones
Expertos en ciberseguridad recomiendan instalar aplicaciones únicamente desde la Google Play Store oficial y evitar tiendas de terceros o enlaces sospechosos. Es fundamental revisar cuidadosamente los permisos que solicitan las aplicaciones, especialmente si piden acceso a servicios de accesibilidad, administración del dispositivo o datos sensibles.
Mantener el sistema operativo y las apps actualizadas es crucial para corregir vulnerabilidades que podrían ser explotadas por este tipo de malware. También se aconseja utilizar soluciones de seguridad móvil como antivirus y anti-malware actualizadas y realizar análisis periódicos. Los usuarios deben estar alertas ante comportamientos inusuales como consumo excesivo de batería, aparición de apps desconocidas o cambios en la configuración del dispositivo.
El Centro de Ciberseguridad e Infraestructura de EE.UU. (CISA) recomienda: «La mejor defensa contra troyanos móviles es la prevención, combinando educación del usuario, actualizaciones constantes y el uso de herramientas de seguridad confiables«.
La evolución del malware móvil
RatOn se suma a una ola de troyanos bancarios y de acceso remoto que han evolucionado rápidamente en los últimos años, como ToxicPanda y Hook, que combinan técnicas de spyware, ransomware y automatización de fraudes. Según la revista especializada ZDNet, «la convergencia de funciones en los troyanos móviles modernos los convierte en una amenaza sin precedentes para la banca digital y las criptomonedas».
A diferencia de otros troyanos, RatOn ha sido desarrollado desde cero, sin compartir código con familias previas, lo que dificulta su detección por firmas tradicionales y obliga a los expertos a desarrollar nuevas estrategias de defensa.