O cenário de ciberameaças móveis acaba de ganhar um adversário mais perigoso. Batizado de RatOn, esse malware vai além do padrão comum: ele mistura fraudes bancárias automáticas, sequestro de contas de comunicação e até recursos típicos de ransomware.
De golpes em NFC a um trojan completo
O grupo NFSkate, que já havia chamado atenção por clonar pagamentos por aproximação (NFC relay), agora amplia sua atuação. Em vez de se limitar a fraudes pontuais, passou a desenvolver um trojan modular com capacidades de Remote Access Trojan (RAT). Isso significa que o RatOn não apenas rouba dados, mas também concede aos criminosos controle remoto quase total sobre o celular da vítima.
O início da infecção
O ponto de entrada é um aplicativo disfarçado — geralmente com temática de entretenimento ou adulto — que serve como dropper. Assim que é executado, ele solicita ao usuário permissão para instalar apps fora da loja oficial, algo que já deveria acender o alerta.Com a permissão concedida, o dropper baixa o payload malicioso, que logo solicita privilégios de Acessibilidade e Administrador do Dispositivo. Na prática, isso significa que o malware passa a enxergar e manipular a tela, inserir comandos e manter-se ativo mesmo após reinicializações.
Bancos e WhatsApp sob mira
Uma vez consolidado no sistema, o RatOn começa a mapear os aplicativos em uso. Entre os alvos principais estão apps de bancos e de mensageria como o WhatsApp.
-
No ambiente bancário, ele usa duas táticas principais: sobrepõe telas falsas para coletar senhas e códigos de autenticação, e aciona um sistema de transferências automáticas (ATS), capaz de movimentar dinheiro em segundo plano.
-
No WhatsApp, o trojan consegue interceptar mensagens e notificações, inclusive códigos de verificação em duas etapas. Isso permite que os criminosos assumam a conta, enviem mensagens em nome da vítima, solicitem dinheiro a contatos ou espalhem links maliciosos.
Outras frentes de ataque
Além das funções já citadas, o RatOn também direciona esforços para:
-
carteiras de criptomoedas, como MetaMask, Trust e Phantom;
-
pagamentos por aproximação, herdando do NFSkate a habilidade de clonar transações via NFC;
-
bloqueios persistentes, semelhantes ao ransomware, que podem travar o celular, impedir a remoção do malware ou até exibir telas de resgate.
Linha do tempo e evolução
De acordo com a Threat Fabric, as primeiras variantes apareceram em julho de 2025 e, em pouco mais de um mês, já haviam recebido novas atualizações. O ritmo demonstra que o grupo mantém um desenvolvimento ativo, explorando continuamente novas formas de fraude.
O que torna o RatOn tão preocupante
Especialistas destacam três fatores principais:
-
Automação — parte das fraudes ocorre sem qualquer interação da vítima;
-
Versatilidade — atinge desde apps de banco até carteiras cripto e mensageiros;
-
Persistência — o malware permanece ativo mesmo após tentativas de reinicialização ou remoção.
Em conjunto, esses elementos fazem do RatOn uma das ameaças móveis mais avançadas já vistas.
Como se proteger
-
Baixe apps apenas da loja oficial;
-
Desconfie de permissões exageradas em aplicativos recém-instalados;
-
Prefira biometria para autenticação, sempre que possível;
-
Ative a confirmação em duas etapas no WhatsApp;
-
Evite clicar em links de origem duvidosa.
O artigo "Novo malware RatOn pode roubar contas bancárias e invadir conta WhatsApp" foi escrito por Cecilia Ferraz no site Tecmundo.
Disponível em: https://www.tecmundo.com.br/seguranca/406937-novo-malware-raton-pode-roubar-contas-bancarias-e-invadir-conta-whatsapp.html
