Malware utiliza sobreposição de telas, roubo de credenciais e sistema automatizado de transferências
RatOn – Pesquisadores de segurança identificaram que o grupo de cibercriminosos NFSkate — antes associado a golpes de clonagem de pagamentos via NFC — desenvolveu uma ameaça muito mais elaborada.
Trata-se do RatOn, um trojan que une ataques financeiros, roubo de informações e controle remoto completo do dispositivo, com capacidade de acessar inclusive aplicativos de comunicação como o WhatsApp.
LEIA: Sindplay lança curso para compreensão e correção de pensamentos disfuncionais
O ataque começa com o dropper, aplicativo disfarçado de inofensivo, geralmente com temas adultos ou de entretenimento. Ao ser aberto, ele solicita permissão para instalar apps de fora da loja oficial, um claro indício de risco.
Caso o usuário aceite, o dropper baixa o payload, a parte realmente nociva, que solicita permissões de Acessibilidade e Administrador do Dispositivo. Dessa forma, o malware passa a enxergar e controlar praticamente todas as ações no celular — abrir apps, digitar dados e interagir com a tela sem que o dono perceba.
Como o RatOn compromete bancos e WhatsApp
O avanço preocupa especialistas porque mostra a transição do NFSkate: de fraudes com NFC relay para a criação de um trojan completo, com funções típicas de RAT (Remote Access Trojan). Assim, o RatOn não apenas desvia dinheiro, mas também entrega aos criminosos o controle remoto do aparelho para realizar operações automáticas e discretas.
Uma vez instalado, o malware observa quais aplicativos estão em uso. Quando o usuário abre o app do banco, do WhatsApp ou qualquer outro que envolva autenticação, ele age de duas formas principais no ambiente bancário:
– Cria telas falsas sobrepostas ao app legítimo, coletando PINs, senhas e códigos de autenticação;
– Ativa o ATS (Automated Transfer System), que realiza transferências sem que o usuário perceba.
Até agora, os pesquisadores confirmaram impacto em apenas um banco da República Checa.
No caso do WhatsApp, a ameaça é igualmente crítica: o RatOn lê mensagens recebidas em segundo plano, inclusive códigos de autenticação (2FA). Além disso, exibe falsos formulários pedindo senhas e confirmações, capturando imediatamente os dados.
Dessa forma, os atacantes podem assumir a conta, enviar mensagens aos contatos, solicitar transferências ou compartilhar links maliciosos. O malware também consegue interceptar notificações e usar o número da vítima para clonar contas em outros serviços que dependem do WhatsApp para verificação.
Por que o RatOn gera tanta preocupação?
Segundo relatório do Threat Fabric, responsável pela descoberta, a primeira amostra foi detectada em 5 de julho de 2025 e a mais recente em 29 de agosto do mesmo ano — evidência de que o grupo tem trabalhado continuamente em novos módulos.
O malware mostrou ainda capacidade de atacar algumas carteiras de criptomoedas, como MetaMask, Trust, com.piuk.blockchain.android e Phantom.
Outro recurso é o módulo do NFSkate para ataques de NFC relay, que permitem duplicar pagamentos por aproximação. Assim, ao usar cartão ou celular em uma transação, o RatOn pode “espelhar” a operação e efetuar compras em outro local simultaneamente. Esse método funciona em paralelo às transferências automáticas do ATS, tornando o ataque ainda mais ágil e difícil de detectar.
O trojan também garante persistência no sistema: mesmo após reiniciar o celular, ele permanece ativo graças às permissões de administrador. Pode bloquear o dispositivo, exigir resgate ou impedir a desinstalação manual, dificultando qualquer tentativa de remoção.
Por essa soma de recursos, o RatOn é classificado como uma das ameaças móveis mais avançadas já vistas: modular, automatizado, silencioso e capaz de comprometer tanto finanças quanto a comunicação pessoal.
Como se proteger contra o RatOn
Especialistas recomendam práticas básicas de segurança digital para reduzir o risco de infecção:
– Nunca instale aplicativos de fora da Google Play;
– Desconfie de permissões incomuns em apps recém-instalados;
– Prefira autenticação biométrica a senhas ou PINs nos apps bancários e no WhatsApp;
– Ative a confirmação em duas etapas no WhatsApp (aquele PIN adicional além do SMS);
– Evite clicar em links suspeitos.
(Com informações de TecMundo)
(Foto: Reprodução/Freepik/user19739995)
