Desde TecnetOne alertamos sobre una nueva y peligrosa amenaza que afecta a usuarios de Android: se trata de RatOn, un nuevo troyano altamente sofisticado que se hace pasar por una app legítima. Una vez instalado, puede tomar el control del teléfono, robar datos personales, realizar transferencias automáticas de dinero y hasta bloquear el dispositivo, imitando el comportamiento de un ransomware.
Este malware tiene presencia en varios países de Europa Central. Sin embargo, todo indica que su expansión a otras regiones, incluida América Latina, es solo cuestión de tiempo.
¿Cómo funciona RatOn en Android y por qué es tan peligroso?
RatOn no se anuncia ni genera alertas visibles. Se presenta como una aplicación atractiva, con nombres llamativos como una supuesta “TikTok18+”, y una vez que la instalas, toma el control completo del celular. A partir de ese momento, puede espiar tus movimientos, robar información personal, realizar transferencias bancarias automáticas e incluso bloquear por completo tu dispositivo.
El ataque comienza de forma silenciosa, como sucede con muchos de los malware más sofisticados. Todo inicia cuando el usuario descarga una aplicación falsa (conocida como dropper), que en realidad sirve como instalador del virus. Una vez ejecutada, RatOn descarga su carga maliciosa y se activa en segundo plano, sin levantar sospechas.
Su primer paso es solicitar permisos clave en el sistema operativo Android, como:
-
Acceso a los servicios de accesibilidad
-
Privilegios de administrador del sistema
-
Lectura y modificación de contactos
-
Control sobre ajustes del sistema
Con estos permisos, RatOn puede modificar funciones críticas del teléfono sin que el usuario se dé cuenta. Y como muchas de estas apps vienen disfrazadas de herramientas útiles o versiones “premium” de apps populares, es común que pasen desapercibidas. ¿Alguna vez descargaste una aplicación que parecía demasiado buena para ser verdad? Ahí es donde suele comenzar el problema.
App maliciosa disfrazada de "TikTok 18+"
Técnicas que utiliza RatOn para operar sin ser detectado
Lo que vuelve a RatOn especialmente peligroso no es solo su facilidad para instalarse, sino el conjunto de técnicas avanzadas que utiliza para robar información, dinero y el control del dispositivo. Entre sus principales funciones se encuentran:
- Superposición de pantallas falsas (overlays): RatOn crea pantallas que imitan perfectamente la interfaz de aplicaciones legítimas, como apps bancarias o billeteras digitales. Así, cuando introduces tus datos de acceso, en realidad los estás enviando al malware.
- Control de funciones NFC y sistema ATS: Este troyano puede interceptar pagos por proximidad a través de NFC y emplear un sistema llamado ATS (Automatic Transfer System). Si logra obtener tu PIN o acceso a tu app bancaria, puede realizar transferencias sin necesidad de intervención del usuario, tanto desde cuentas bancarias como desde billeteras de criptomonedas.
- Función tipo ransomware: RatOn también puede comportarse como un ransomware, bloqueando completamente el acceso al dispositivo y solicitando un pago para desbloquearlo.
- Registro de teclas (keylogger): Captura todo lo que escribes en tu dispositivo, desde contraseñas hasta mensajes personales, lo que le permite obtener datos sensibles sin necesidad de acceder directamente a tus apps.
- Simulación de toques y control remoto: El malware puede abrir aplicaciones como WhatsApp, simular toques en pantalla y ver lo que haces en tiempo real, todo de manera remota.
Permisos y funciones clave que utiliza RatOn
Para tener una idea clara del alcance de este troyano, aquí te compartimos una tabla con los principales permisos que solicita y las acciones que le permiten realizar:
| Permiso o técnica | Qué le permite hacer |
|---|---|
| Servicio de accesibilidad | Control total del dispositivo sin que el usuario lo note |
| Privilegios de administrador | Impedir la desinstalación y modificar configuraciones del sistema |
| Comandos remotos | Abrir apps, simular interacciones y monitorear el dispositivo en vivo |
¿Por qué RatOn representa una amenaza tan grave?
Porque no necesita que hagas clic en un enlace extraño ni que confirmes nada fuera de lo común. Basta con instalar una app disfrazada para que obtenga acceso completo a tu celular. Desde ahí, puede imitar tus acciones, mover dinero de tus cuentas, bloquear tu equipo o simplemente quedarse espiando en silencio.
Y si logra entrar a tus aplicaciones bancarias o billeteras de criptomonedas, el riesgo de robo total de fondos o activos digitales es muy alto.
RatOn es un ejemplo claro de cómo los cibercriminales están perfeccionando sus métodos para engañar a los usuarios y tomar el control de sus dispositivos sin ser detectados. Por eso, la mejor defensa es la prevención.
Conoce más sobre: Ciberseguridad en Escuelas: Cómo Proteger a Los Estudiantes
¿Cómo se distribuye RatOn?
RatOn no llega como un virus cualquiera. Para colarse en tu celular, se disfraza de aplicaciones atractivas, especialmente diseñadas para llamar la atención.
Una vez que logran que descargues la app señuelo, empiezan a pedirte permisos que parecen normales, como acceso a accesibilidad o funciones del sistema. Todo esto se presenta de forma sutil, sin levantar sospechas, pero en realidad es lo que le permite a RatOn tomar el control total del dispositivo.
Y aquí viene un punto clave: ¿quién no ha visto por ahí enlaces a “versiones especiales” de apps populares? Esa es una técnica clásica de ingeniería social que sigue funcionando porque apela a la curiosidad o la idea de obtener acceso exclusivo a algo que, en realidad, no existe.
Además, según el análisis técnico, los dominios que alojaban esta app falsa estaban dirigidos a usuarios en Chequia y Eslovaquia, lo cual sugiere que los atacantes también segmentan sus campañas por idioma y región. Esto nos recuerda que no basta con “desconfiar en general”, sino que hay que revisar cada permiso y cada origen de descarga con mucho más cuidado.
Cómo proteger tu celular Android y evitar caer en trampas como RatOn
En estos casos, la prevención lo es todo. Y no se trata de volverse paranoico, sino de aplicar buenas prácticas básicas que pueden ahorrarte muchos dolores de cabeza. Antes de instalar algo impulsivamente, haz una pausa y revisa estos puntos clave:
1. Descarga apps solo desde tiendas oficiales: Evita instalar APKs desde sitios desconocidos o enlaces que llegan por WhatsApp, SMS o redes sociales. Google Play y otras tiendas oficiales tienen filtros que ayudan a reducir este tipo de riesgos.
2. Desconfía de las apps que prometen “más de lo normal”: Apps como “TikTok18+”, versiones modificadas de Instagram, WhatsApp con funciones ocultas, etc., suelen ser puros cebos para engañar. Si suena demasiado bueno para ser cierto, probablemente lo sea.
3. Revisa bien los permisos que te piden: Pon especial atención a los permisos de accesibilidad, administrador del sistema, acceso a contactos o cambios en los ajustes. Si una app desconocida pide todo eso, es una señal clara de alerta.
4. No otorgues privilegios de administrador a cualquier aplicación: Este permiso le da el control casi total del equipo. Si no es una app de confianza (y con buena reputación en la tienda oficial), no se lo concedas bajo ninguna circunstancia.
5. Identifica señales de comportamiento extraño: ¿Aparecen ventanas flotantes que no deberías ver? ¿Tu celular se bloquea solo o reacciona lento? ¿Notas movimientos raros en tu cuenta bancaria? Si pasa algo de esto, mejor realiza un restablecimiento de fábrica y avisa a tu banco de inmediato para bloquear tarjetas o cuentas.
6. Sentido común ante todo: Los atacantes apuestan a que aceptes sin leer. Si algo se siente raro o fuera de lugar, no tomes riesgos innecesarios. Mejor detenerse y verificar, que lamentar después.
¿Qué hacer si crees que tu celular ya fue infectado por RatOn?
Si instalaste una app sospechosa, como esa falsa “TikTok18+” o cualquier otra de origen dudoso, actúa rápido. Aquí te dejamos los pasos más efectivos para minimizar daños:
-
Restablece el teléfono a valores de fábrica lo antes posible. Esto borra cualquier archivo malicioso instalado.
-
Contacta con tu banco de inmediato y solicita el bloqueo temporal de tus cuentas, tarjetas y billeteras digitales.
-
Cambia todas tus contraseñas, especialmente si las ingresaste en el celular infectado.
-
Activa el monitoreo de tus cuentas para detectar movimientos no autorizados.
-
Si concediste permisos de accesibilidad o administrador a una app que no reconoces, revísalos ahora mismo y elimínala.
Recuerda que RatOn combina múltiples capacidades: puede robar información, espiar lo que haces y bloquearte el celular, todo desde una app que parecía inofensiva. Y lo peor es que se apoya en el engaño y en decisiones impulsivas para funcionar.