El troyano RatOn ha evolucionado de ser una herramienta de ataque mediante comunicaciones NFC a una más sofisticada con capacidades de Sistema de Transferencia Automatizada (ATS), diseñada para infectar teléfonos móviles Android y robar dinero, bloquear el dispositivo o tomar el control del mismo.
RatOn es un nuevo troyano, presumiblemente desarrollado desde cero, es decir, que no tiene similitudes con otras familias de ‘malware’ conocidas, que los investigadores de Threat Fabric identificaron a principios de julio del presente año.
Sus responsables, el grupo de amenazas NFSkate, alojaron RatOn en una serie de dominios que ofrecían como reclamo una supuesta versión de la ‘app’ de Tiktok con contenido solo para adultos, a la que llamaron TikTok18+, dirigida a usuarios de Android de habla checa y eslovaca, como informan en su blog oficial.
RatOn se instala con un ‘dropper’, esto es, un tipo de troyano que se descarga en el equipo de la víctima para, una vez en él, instalar el ‘malware’ con el que lo infectará para realizar la actividad maliciosa.
En su descarga, solicita a la víctima permiso para instalar ‘software’, que es en realidad la carga útil con la que los cibercriminales podrán acceder y controlar el dispositivo. Para ello, solicita más permisos: servicio de accesibilidad, privilegios de administrador, para leer y escribir contactos y administrar la configuración del sistema. Una segunda carga útil contiene el ‘malware’ NFSkate, diseñado para realizar ataques de retransmisión NFC.
A partir de aquí, los cibercriminales pueden realizar un ataque de tipo ‘ransomware’, bloqueando el equipo y solicitando un pago en criptomonedas para recuperar el acceso. Con capacidades de ‘keylogger’, y previo robo del PIN, también pueden realizar transferencia automática de dinero desde la aplicación bancaria y las billeteras de criptomonedas.
Los investigadores de Threat Fabric señalan, además, que RatOn tiene una amplia lista de comandos, dirigidos a enviar el estado de la pantalla, iniciar WhatsApp, enviar la lista de aplicaciones instaladas con huella digital del dispositivo o hacer un clic simulado en el botón Inicio, entre otras acciones.
