Um novo malware chamado RatOn está evoluindo rapidamente e se consolidando como uma das ameaças mais perigosas para usuários de smartphones. Inicialmente criado para clonar pagamentos via NFC, o RatOn agora se transformou em um trojan de acesso remoto (RAT) capaz de assumir o controle total do dispositivo e executar fraudes bancárias de forma automatizada.

Segundo especialistas em segurança digital, o RatOn ganhou uma série de recursos avançados. Entre eles estão o roubo de senhas recebidas por WhatsApp, interceptação de mensagens e a realização de transferências bancárias secretas. O malware também passou a mirar aplicativos de criptomoedas, como MetaMask, Trust Wallet, Blockchain.com e Phantom, ampliando ainda mais seu potencial de causar perdas financeiras significativas.

Alvo inicial: Europa Central

Até agora, os casos de infecção foram registrados apenas na República Tcheca e Eslováquia, sem indícios de ataques no Brasil. No entanto, a crescente complexidade do malware tem levantado alertas globais entre especialistas em cibersegurança, que temem uma expansão para outros países em breve.

Como o RatOn infecta e assume o controle do dispositivo

A primeira versão do RatOn foi identificada em 5 de julho de 2025, com atualizações mais recentes surgindo em 29 de agosto, indicando que os cibercriminosos continuam aprimorando suas táticas.

O malware é distribuído por meio de links maliciosos que imitam a interface da Google Play Store. Esses links prometem conteúdos apelativos — como um falso app chamado “TikTok +18” e induzem os usuários a baixar um aplicativo intermediário (dropper). Embora pareça inofensivo, esse app contém o código malicioso responsável por instalar o trojan.

Após a instalação, o RatOn solicita uma série de permissões sensíveis, como:

• Instalar apps de fontes desconhecidas

• Acessar os serviços de acessibilidade do Android

• Obter privilégios de administrador do dispositivo

• Manipular configurações e contatos do sistema

Com esses acessos, o malware baixa módulos adicionais, incluindo o NFSkate, uma versão maliciosa baseada na ferramenta legítima NFCGate, permitindo que o RatOn realize suas ações mais perigosas, como capturar dados bancários e controlar remotamente o smartphone da vítima.

Ransomware e roubo de carteiras digitais

Um dos recursos mais alarmantes do RatOn é sua capacidade de bloquear completamente o dispositivo e exigir resgate em criptomoedas. Caso a vítima tente usar um app de carteira digital para pagar o valor exigido, o malware é capaz de capturar o PIN de acesso e tomar controle da conta antes que o resgate seja efetivado.

Com total acesso ao sistema, os criminosos podem:

• Gravar a tela do usuário

• Espionar conversas em WhatsApp, Facebook e e-mails

• Interceptar códigos 2FA enviados por SMS, neutralizando camadas essenciais de proteção

Até o momento, os ataques bancários do RatOn têm se concentrado no aplicativo George Česko, um serviço popular na República Tcheca. Essa limitação geográfica levanta a suspeita de que o malware ainda esteja em fase de testes, com potencial para uma disseminação global futura.

Como se proteger do RatOn e ameaças semelhantes:

• Evite instalar apps fora da Play Store ou App Store

• Desconfie de apps que pedem muitas permissões, especialmente de acessibilidade e administração

• Ative a autenticação em dois fatores (2FA) em todas as contas importantes

• Não clique em links suspeitos — especialmente os que prometem conteúdo exclusivo, adulto ou fora das diretrizes comuns