Un nuevo malware para Android llamado Arton evolucionó a partir de una herramienta básica capaz de llevar a cabo la comunicación de campo cercano ( NFC ) ataques a un sofisticado troyano de acceso remoto con sistema de transferencia automatizada ( GATOS ) capacidades para llevar a cabo fraudes con dispositivos.
«RaTon combina los ataques superpuestos tradicionales con las transferencias automáticas de dinero y la funcionalidad de retransmisión NFC, lo que la convierte en una amenaza única y poderosa», dijo la empresa holandesa de seguridad móvil dijo en un informe publicado hoy.
El troyano bancario viene equipado con funciones de toma de cuentas dirigidas a aplicaciones de monederos de criptomonedas como MetaMask, Trust, Blockchain.com y Phantom, y también es capaz de realizar transferencias de dinero automatizadas utilizando George Česko, una aplicación bancaria utilizada en la República Checa.
Además, puede realizar ataques similares al ransomware utilizando páginas superpuestas personalizadas y bloqueos de dispositivos. Vale la pena señalar que también existía una variante del troyano HOOK para Android observado incorporando pantallas superpuestas al estilo de un ransomware para mostrar mensajes de extorsión.
La primera muestra distribuidora de ratones se detectó en estado salvaje el 5 de julio de 2025, y el 29 de agosto de 2025 se descubrieron más artefactos, lo que indica un trabajo de desarrollo activo por parte de los operadores.
RaTon ha aprovechado las páginas falsas de anuncios de Play Store que se hacen pasar por una versión de TikTok para adultos (TikTok 18+) para alojar aplicaciones de cuentagotas maliciosas que distribuyen el troyano. Actualmente no está claro cómo se atrae a los usuarios a estos sitios, pero la actividad se ha centrado en los usuarios de habla checa y eslovaca.
Una vez instalada, la aplicación Dropper solicita permiso al usuario para instalar aplicaciones de fuentes de terceros a fin de eludir las medidas de seguridad críticas impuestas por Google para evitar el abuso de los servicios de accesibilidad de Android.
La carga útil de la segunda etapa luego procede a solicitar administración de dispositivos y servicios de accesibilidad, así como permisos para leer y escribir contactos y administrar la configuración del sistema para aprovechar su funcionalidad maliciosa.
Esto incluye concederse permisos adicionales según sea necesario y descargar un malware de tercera etapa, que no es más que el malware NFSkate que puede realizar ataques de retransmisión NFC mediante una técnica llamada Ghost Tap. La familia del malware era primera documentación en noviembre de 2024.
«Las funciones de apropiación de cuentas y transferencia automática han demostrado que el autor de la amenaza conoce bastante bien el funcionamiento interno de las aplicaciones objetivo», afirma ThreatFabric, al describir el malware como creado desde cero y que no comparte similitudes de código con otros programas maliciosos bancarios para Android.
Eso no es todo. Raton también puede mostrar pantallas superpuestas que parecen notas de rescate en las que se afirma que los teléfonos de los usuarios están bloqueados para ver y distribuir pornografía infantil y que tienen que pagar 200 dólares en criptomonedas para recuperar el acceso en dos horas.
Se sospecha que las notas de rescate están diseñadas para inducir una falsa sensación de urgencia y obligar a la víctima a abrir las aplicaciones de criptomonedas, realizar la transacción de inmediato y permitir a los atacantes capturar el código PIN del dispositivo en el proceso.
«Tras recibir la orden correspondiente, Raton puede iniciar la aplicación de monedero de criptomonedas objetivo, desbloquearla con un código PIN robado, hacer clic en los elementos de la interfaz relacionados con la configuración de seguridad de la aplicación y, en el último paso, revelar frases secretas», afirma ThreatFabric, detallando sus funciones de adquisición de cuentas.
Posteriormente, un componente de registro de pulsaciones registra los datos confidenciales y los filtra a un servidor externo bajo el control de los actores de la amenaza, quienes luego pueden usar las frases iniciales para obtener acceso no autorizado a las cuentas de las víctimas y robar activos en criptomonedas.
Algunos comandos notables que procesa RaTon se enumeran a continuación:
- send_push, para enviar notificaciones push falsas
- screen_lock, para cambiar el tiempo de espera de la pantalla de bloqueo del dispositivo a un valor específico
- WhatsApp, para lanzar WhatsApp
- app_inject, para cambiar la lista de aplicaciones financieras específicas
- update_device, para enviar una lista de las aplicaciones instaladas con la huella digital del dispositivo
- send_sms, para enviar un mensaje SMS mediante los servicios de accesibilidad
- Facebook, para lanzar Facebook
- nfs, para descargar y ejecutar el malware NFSkate APK
- transferir, realizar ATS con George Česko
- bloquear, para bloquear el dispositivo mediante el acceso de administración del dispositivo
- add_contact, para crear un nuevo contacto con un nombre y un número de teléfono especificados
- grabar, para iniciar una sesión de casting de pantalla
- pantalla, para activar/desactivar la transmisión de pantalla
«El grupo de actores de amenazas se dirigió inicialmente a la República Checa, y es probable que Eslovaquia sea el próximo país en el que centrarse», afirma ThreatFabric. «La razón por la que nos concentramos en una sola aplicación bancaria sigue sin estar clara. Sin embargo, el hecho de que las transferencias automatizadas requieran números de cuentas bancarias locales sugiere que los responsables de las amenazas podrían estar colaborando con las empresas locales que hacen dinero».