Unos analistas han descubierto un troyano de acceso remoto (RAT) para móviles Android que suplanta a una aplicación normal, pero cuando se instala toma el control del teléfono para robar dinero o bloquearlo. Conocido como RatOn, se presenta como una aplicación atractiva para poder atraer a los usuarios y que se descargue sin sospechar. En este caso, los atacantes utilizaron una supuesta versión de TikTok para adultos llamada ‘TikTok18+’.
Al descargar esa app, supuestamente fiable, comienza a pedir una serie de permisos que parecen normales, pero sirven para manejar el dispositivo de la víctima. La investigación de la compañía ThreatFabric ha revelado que detrás de RatOn se encuentra un grupo llamado NFSkate, quienes colgaron la aplicación falsa en varios dominios dirigidos a usuarios de habla checa y eslovaca.
Así funciona RatOn, el troyano que controla tu móvil y puede robarte los datos y el dinero
El proceso de infección del dispositivo que comienza con un instalador malicioso (dropper) que descarga y ejecuta la carga útil real. Durante la instalación, pide permisos como el servicio de accesibilidad, privilegios de administrador, permiso para leer/escribir contactos y para gestionar la configuración del sistema, con lo que puede hacer cambios sin que el usuario se dé cuenta.
Combina varias técnicas como el utilizar ventanas falsas sobre reales para pedir datos confidenciales, puede reenviar comunicaciones NFC aprovechándose de los pagos cercanos y tiene un sistema de transferencias automáticas (ATS) que, de lograr el PIN o el control de la app bancaria, puede mover el dinero desde la cuenta o desde monederos de criptomonedas.
También puede actuar como ransomware y bloquear el móvil para después exigir un rescate, y actúa como keylogger capturando lo que se escribe. Por si fuera poco, posee una larga lista de comandos con el que puede abrir apps como WhatsApp, simular toques en botones del teléfono o enviar como está la pantalla. Los analistas creen que se ha desarrollado desde cero y se trataría de un algo totalmente nuevo, por lo que es especialmente peligroso.
Para no ser víctima de RatOn o de este tipo de malware, lo que se recomienda es no instalar aplicaciones que no sean de tiendas oficiales, desconfiar de enlaces raros, revisar los permisos antes de aceptar y no dar permisos o privilegios de administrados a apps desconocidas. Si se detecta alguno de estos indicios anteriores, lo mejor es realizar un reestablecimiento de fábrica y contactar con el banco para bloquear cuentas o tarjetas.