Un nuevo malware de Android que puede vaciar tus cuentas bancarias en segundos está circulando por Europa. Según reporta The Hacker News, se trata de un troyano llamado Rat0n y se distribuye a través de aplicaciones maliciosas que se hacen pasar por plataformas de contenidos para adultos.
Lo curioso del caso es que, según descubrieron los expertos en ciberseguridad de Threat Fabric, Rat0n no se basa en malware de Android ya existente. De acuerdo con los especialistas, esta amenaza se ha desarrollado desde cero y utiliza una metodología bastante sofisticada para obtener acceso a las víctimas y concretar sus ataques.
Según se menciona, los responsables de crear el troyano han montado varios sitios web falsos que enlazan a una supuesta versión de TikTok exclusivamente dedicada al porno y los desnudos. Por ello, tanto en las páginas como en las apps maliciosas se han hallado múltiples referencias al nombre «TikTok18+».
De esta manera, cuando los usuarios descargan estas aplicaciones le abren la puerta de par en par a esta nueva amenaza. Una vez que el malware ingresa a los móviles Android, engaña a las víctimas para que permitan instalar apps desde fuentes desconocidas. Luego, libera múltiples cargas que evaden las protecciones del sistema operativo y admiten el ingreso del troyano Rat0n.
Rat0n, un nuevo y peligroso malware que acecha a los móviles Android
Una vez que un móvil Android se ha infectado con Rat0n, el malware puede concretar una gran variedad de ataques de forma remota. Por ejemplo, puede vaciar cuentas bancarias en segundos, ya que es capaz de iniciar transferencias de dinero automáticas sin el consentimiento de las víctimas. Asimismo, es capaz de robar datos vinculados con medios de pago sin contacto a través de un ataque de retransmisión de NFC.
El troyano también es capaz de explotar las herramientas de accesibilidad de Android para lanzar ataques de overlaying. Esto consiste de superponer una pantalla de inicio de sesión en aplicaciones financieras y bancarias que son idénticas a las legítimas (o muy parecidas, como mínimo), con el fin de robar las credenciales de inicio de sesión y concretar nuevas estafas.
Pero la historia no termina allí. El malware también permite engañar a las víctimas haciéndoles creer que su móvil Android se bloqueó con un ataque de ransomware. Esto lleva a que las personas transfieran grandes cantidades de dinero para recuperar el acceso a su dispositivo, cuando este no se ha bloqueado realmente.
Los investigadores hallaron otros varios comandos que puede ejecutar Rat0n de forma remota. Por ejemplo, abrir Facebook o WhatsApp, enviar SMS, agendar contactos, iniciar la transmisión de la pantalla o cambiar el tiempo de bloqueo de la pantalla.
Las apps para Android infectadas con este malware se han detectado inicialmente en República Checa, aunque también hay indicios de blancos enfocados en Eslovaquia. De modo que es una amenaza que ya circula por Europa y que tiene el potencial de expandirse rápidamente.
Como siempre, se recomienda no instalar apps desde fuentes desconocidas a menos que estas provengan de desarrolladores verdaderamente confiables. No olvidemos que Google comenzará a bloquear el sideloading de apps no verificadas a partir del próximo año, con el fin de imponer una capa de seguridad adicional en su SO móvil.