Um novo malware batizado de RatOn acendeu o alerta vermelho entre especialistas em cibersegurança. Descoberto por pesquisadores da Threat Fabric, o trojan é descrito como uma das ameaças móveis mais sofisticadas já desenvolvidas, combinando ataques bancários automatizados, roubo de dados e invasão de aplicativos de comunicação, incluindo o WhatsApp. A notícia foi publicada pelo Tecmundo em 10 de setembro de 2025.
De acordo com os pesquisadores, o RatOn é obra do grupo de cibercriminosos NFSkate, já conhecido por clonar pagamentos por aproximação (via NFC relay). Agora, porém, eles deram um salto em sofisticação ao criar um malware modular, automatizado e furtivo, que atua em várias frentes ao mesmo tempo.
O ataque começa com o dropper, um aplicativo aparentemente inofensivo, muitas vezes com temática adulta ou de entretenimento, que, ao ser instalado, solicita permissões para baixar softwares de fora da loja oficial. Uma vez aceito, o dropper libera o payload malicioso, que pede permissões avançadas como Acessibilidade e Device Admin, garantindo controle quase total do dispositivo.
Como o RatOn age nos aplicativos bancários e no WhatsApp
Segundo o relatório da Threat Fabric, o RatOn monitora o uso do celular e é capaz de identificar quando o usuário abre o aplicativo do banco ou do WhatsApp.
Nos bancos, ele cria telas falsas (overlays) sobre os aplicativos oficiais, solicitando PINs e senhas, além de acionar o sistema ATS (Automated Transfer System) para realizar transferências sem que o usuário perceba. Até o momento, um banco na República Tcheca foi identificado como alvo.
No WhatsApp, a ameaça é igualmente séria. O malware consegue ler mensagens em segundo plano, interceptar códigos de autenticação em duas etapas (2FA) e até criar overlays falsos para roubar informações em tempo real. Com esses dados, criminosos podem assumir contas, enviar mensagens fraudulentas, pedir dinheiro a contatos ou espalhar links maliciosos.
Além disso, o RatOn também foi identificado em ataques a carteiras de criptomoedas como MetaMask, Trust Wallet e Phantom, ampliando ainda mais seu raio de ação.
Um malware persistente e difícil de eliminar
Um dos pontos mais preocupantes é a persistência do RatOn. De acordo com a Threat Fabric, mesmo após reiniciar o celular, o malware pode continuar ativo devido às permissões avançadas obtidas. Ele também é capaz de bloquear o aparelho, exibir telas de resgate e impedir a desinstalação manual, o que dificulta a recuperação sem ajuda técnica.
O grupo NFSkate manteve desenvolvimento ativo do RatOn nos últimos meses. A primeira amostra foi identificada em 5 de julho de 2025, e a mais recente, em 29 de agosto do mesmo ano, indicando um esforço contínuo para aprimorar a ameaça.
Por que o RatOn preocupa tanto?
De acordo com os especialistas consultados pela Threat Fabric, o RatOn inaugura uma nova era de ataques cibernéticos móveis, ao reunir em um único pacote funções de trojan bancário, ransomware e RAT (Remote Access Trojan). Isso faz com que seja capaz não apenas de roubar, mas também de controlar ativamente os dispositivos das vítimas.
“O malware é modular, silencioso e extremamente eficiente. Ele transforma o celular em uma porta de entrada para crimes financeiros e ataques à privacidade pessoal”, alertaram os pesquisadores.
O RatOn mostra como o crime cibernético está evoluindo para ameaças cada vez mais sofisticadas, automatizadas e integradas ao cotidiano digital. Para especialistas, a melhor defesa ainda é a prevenção: evitar downloads fora das lojas oficiais, desconfiar de apps que pedem permissões incomuns e manter o sistema sempre atualizado.
Texto: Redação TI Rio