Um novo malware para Android, batizado de RatOn, está a elevar o patamar das fraudes móveis. Identificado pela ThreatFabric, este trojan evoluiu de uma simples ferramenta de retransmissão NFC para um RAT (trojan de acesso remoto) completo com Sistema de Transferência Automatizada (ATS). Na prática, junta sobreposições falsas, controlo remoto do dispositivo e movimentação de dinheiro sem que a vítima precise tocar no ecrã.
Como começa o ataque
A campanha detetada utiliza domínios com temática adulta — páginas que se apresentam como um falso “TikTok 18+” — para distribuir um dropper. Depois da instalação, o malware executa um processo em várias etapas: solicita permissões críticas (acessibilidade e administrador do dispositivo), ganha poderes para instalar apps de fontes externas e descarrega um payload de segundo estágio. Em seguida, ativa um terceiro módulo, o NFSkate (NGate), derivado de uma ferramenta de pesquisa NFC, que permite realizar ataques de retransmissão.
Fraude bancária em piloto automático
Com o acesso por Acessibilidade, o RatOn consegue ver e manipular a interface como se fosse o próprio utilizador — só que de forma automatizada. O trojan abre a app bancária, inicia uma nova transferência, preenche conta e valor, insere o PIN previamente roubado e autoriza a operação. Antes de enviar, ainda é capaz de verificar e ajustar limites de transação. O nível de detalhe mostra conhecimento profundo da interface da app financeira. A exigência de contas domésticas indica o uso de “mulas” locais para movimentar o dinheiro.
Como avança o site The Hacker News, o RatOn não se limita a apps bancárias. Ele também ataca carteiras de criptomoedas como MetaMask, Trust, Blockchain.com e Phantom. Depois de desbloquear a aplicação com o PIN roubado, o malware acede às definições, revela a frase-semente e envia-a para o servidor de controlo. Com esses dados, os atacantes conseguem clonar a carteira em qualquer dispositivo.
Além das sobreposições de phishing, usadas para roubar credenciais, os operadores recorrem a mensagens com tom de “ransom”. Essas páginas acusam o utilizador de aceder a conteúdo ilegal e exigem pagamento em criptomoedas em poucas horas. A pressão leva a vítima a abrir a carteira digital — e o malware aproveita para capturar PIN e dados sensíveis.
Por que o RatOn preocupa
O RatOn chama a atenção por combinar técnicas raras num único malware: retransmissão NFC, controlo remoto do dispositivo e transferências automáticas. O alvo não são apenas bancos, mas também carteiras digitais, o que amplia muito o alcance da fraude. Mais do que isso, consegue automatizar todo o processo, desde abrir a app até confirmar transferências sozinho.
As primeiras amostras surgiram entre julho e agosto de 2025, com foco inicial na República Checa — mas já há sinais de que a Eslováquia pode ser o próximo alvo. Outro fator preocupante é que o RatOn foi desenvolvido do zero, trazendo funções que o tornam ainda mais perigoso: envio de notificações falsas, bloqueio de ecrã, roubo de dados de apps, captura e transmissão em tempo real do dispositivo.
