Nuevo troyano bancario toma control de cuentas, realiza transferencias automáticas de dinero y vacía billeteras cripto: investigadores de ciberseguridad

Investigadores de seguridad afirman que ha surgido un nuevo troyano bancario para Android con capacidades para establecer acceso remoto, iniciar transferencias bancarias automáticas y robar activos digitales de billeteras cripto.

La firma de ciberseguridad ThreatFabric dice que ha presenciado los primeros casos de RatOn, al que describe como un “troyano bancario completamente funcional” que toma el control de dispositivos y cuentas.

Según los analistas de ThreatFabric MTI,

“Los casos en los que un troyano evoluciona de ser una herramienta básica de retransmisión NFC (comunicación de campo cercano) a un RAT sofisticado con capacidades de Automated Transfer System (ATS) son prácticamente desconocidos. Por eso el descubrimiento del nuevo troyano RatOn por parte de los analistas de ThreatFabric MTI es especialmente relevante. RatOn combina ataques tradicionales de superposición con transferencias automáticas de dinero y funcionalidad de retransmisión NFC, lo que lo convierte en una amenaza especialmente poderosa.”

Además de tomar el control total de los dispositivos infectados, los analistas afirman que RatOn puede hacer clic automáticamente en aplicaciones de banca móvil e ingresar PINs robados para vaciar fondos.

El malware también puede desbloquear billeteras cripto como MetaMask, Trust Wallet, Phantom y Blockchain.com para robar frases de recuperación.

Por ahora, ThreatFabric dice que los ladrones detrás de RatOn parecen estar apuntando a usuarios en la República Checa, con Eslovaquia en la mira. Aunque el grupo parece operar a nivel local, la firma advierte que RatOn tiene la capacidad de atacar a escala global.

ThreatFabric afirma que la entidad detrás de RatOn infecta a los usuarios a través de dominios con contenido para adultos que entregan aplicaciones dropper disfrazadas de instaladores de terceros.

Posteriormente, el malware inicia un proceso de toma de control del dispositivo en varias etapas, otorgando finalmente a los atacantes una vista en vivo de la pantalla del dispositivo.

Imagen generada: Midjourney