19 Septiembre 2025
RatOn el nuevo virus que infecta los celulares.
Una nueva alarma suena en el mundo de la ciberseguridad, esta vez alertando a miles de usuarios de Android. Se trata de RatOn, un malware de última generación que representa una amenaza sin precedentes para los dispositivos móviles ya que tiene la capacidad de tomar el control total del celular, obtener credenciales bancarias y ejecutar transferencias automáticas de dinero sin que la víctima siquiera lo note.
RatOn es un troyano, es decir, un software dañino que se hace pasar por uno legítimo y tiene la particularidad de haber sido desarrollado desde cero. Su estructura modular y su complejidad técnica lo diferencian de otras amenazas conocidas hasta la fecha, lo que, a su vez, obstaculiza su detección por los antivirus tradicionales.
La primera vez que se identificó este malware fue a comienzos de julio de 2025, cuando el equipo de ThreatFabric, una empresa de ciberseguridad, lo detectó mientras monitoreaba campañas dirigidas a usuarios de Europa Central, específicamente en Eslovaquia y la República Checa. Los responsables de este código malicioso son el grupo NFSkate, que lleva tiempo activo en el cibercrimen bancario digital.
Cómo logran infectar tu celular
La puerta de entrada de RatOn es la ingeniería social. Los atacantes utilizan páginas web y dominios llamativos, a menudo relacionados con contenido para adultos, para engañar a las víctimas. Entre las trampas más exitosas está la supuesta aplicación “TikTok18+”, cuya descarga da inicio al proceso de infección. De esta forma, sin sospechar, los usuarios son convencidos de instalar esta "nueva versión" de TikTok, otorgando acceso completo a los delincuentes.
El método de RatOn es de infección en varias etapas, lo que le brinda un alto nivel de versatilidad y capacidad de ocultamiento. El primer paso es la descarga de un "dropper," una aplicación aparentemente inofensiva que logra obtener permisos cruciales. Entre los privilegios que solicita están el servicio de accesibilidad, el acceso como administrador del dispositivo, la lectura de contactos y la administración de la configuración del sistema.
Ataques ultra avanzados y letales
Una vez instalado, RatOn despliega múltiples métodos delictivos en una estructura modular, lo que eleva su grado de sofisticación. Este troyano puede vaciar cuentas bancarias en cuestión de segundos gracias a su función de Transferencias Automáticas de Dinero (ATS). El malware puede reconocer las interfaces bancarias, automatizar operaciones (como nuevas transferencias o envíos) e incluso insertar el PIN que haya interceptado previamente. Por ejemplo, tiene la capacidad de manipular aplicaciones financieras.
Además de las transferencias automáticas, RatOn ejecuta otros ataques sumamente avanzados:
- Superposición de pantallas (Overlay Attacks): Muestra pantallas falsas sobre aplicaciones legítimas (como las bancarias), robando credenciales o PINs sin levantar sospechas.
- Fraude con criptomonedas: Ha ampliado su objetivo a monederos digitales como Trust Wallet, MetaMask, Phantom y Blockchain.com. Una vez dentro, extrae las frases de recuperación, facilitando el robo de carteras de criptomonedas.
- Control remoto y keylogger: Mediante más de veinte comandos, puede modificar el portapapeles, obtener el inventario de apps y simular clics. Sus funciones como keylogger (registrando todo lo que se escribe) complementan su potencial para el robo de credenciales. Incluso puede activar un bloqueo total del terminal (ransomware) exigiendo un rescate.
Cómo reducir el riesgo de infección
Frente a este panorama resulta fundamental redoblar la precaución. Los expertos en ciberseguridad enfatizan la necesidad de descargar aplicaciones exclusivamente desde tiendas oficiales como Google Play Store.
Además, se recomienda no acceder a enlaces sospechosos ni instalar aplicaciones promocionadas en páginas o dominios desconocidos. Es vital revisar detalladamente los permisos que solicita cualquier software y negar aquellos que parezcan injustificados. En particular, evitar otorgar privilegios de administrador o el acceso a servicios de accesibilidad a aplicaciones no verificadas. En caso de detectar cualquier actividad inusual, debe realizarse sin demora un restablecimiento de fábrica del dispositivo y contactar a la entidad bancaria para bloquear cuentas o tarjetas.
Lo más popular
