AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

RATOn: El Nuevo Malware para Android que Fusiona Ataques NFC con Transferencias Automáticas

admin

Introducción

El ecosistema de amenazas móviles para Android ha experimentado una preocupante evolución con la aparición de RATOn, un nuevo malware que ha pasado de ser una simple herramienta para ataques de relay NFC a convertirse en un troyano de acceso remoto (RAT) con capacidades avanzadas de Automated Transfer System (ATS). Este desarrollo supone un salto cualitativo en la sofisticación de los ataques a dispositivos móviles, combinando técnicas tradicionales de superposición (overlay) con la automatización de transferencias económicas y la manipulación remota de funciones NFC. Este artículo analiza en profundidad la naturaleza de RATOn, su funcionamiento técnico y las implicaciones para la ciberseguridad corporativa y personal.

Contexto del Incidente o Vulnerabilidad

La amenaza RATOn se detectó inicialmente como una herramienta orientada a explotar vulnerabilidades en la tecnología Near Field Communication (NFC) de los dispositivos Android. Su función primaria era facilitar ataques de relay, permitiendo que los ciberdelincuentes interceptaran y retransmitieran transacciones contactless en tiempo real. Sin embargo, en los últimos meses, investigadores de amenazas móviles han identificado una versión evolucionada que incorpora capacidades de troyano de acceso remoto y automatización de transferencias económicas, colocándose a la vanguardia del malware financiero móvil.

La tendencia de ataques móviles ha experimentado un fuerte crecimiento, incrementándose un 40% en el último año según el informe Mobile Threat Landscape 2023 de Kaspersky. Esta sofisticación responde tanto a la expansión de los servicios bancarios móviles como al endurecimiento de las medidas de autenticación, impulsando a los atacantes a buscar nuevas técnicas para eludir controles de seguridad.

Detalles Técnicos

RATOn integra múltiples vectores de ataque y técnicas avanzadas, combinando elementos que hasta ahora solían encontrarse por separado en campañas de malware para Android. Sus principales características técnicas incluyen:

– **CVE y superficies de ataque:** Aunque aún no se ha asignado un CVE específico a RATOn, explota principalmente permisos excesivos, vulnerabilidades en la gestión del NFC de Android y la falta de restricciones de accesibilidad en versiones 10, 11 y 12.
– **Vectores de infección:** RATOn suele propagarse a través de aplicaciones falsas distribuidas fuera de Google Play Store, phishing por SMS y campañas de ingeniería social.
– **TTPs (MITRE ATT&CK):** RATOn emplea técnicas como T1056 (Input Capture), T1112 (Modify Registry), T1476 (Deliver Malicious App via Third-Party App Stores), T1411 (Input Injection), y T1517 (Access Contactless Payment Data).
– **Capacidades ATS:** El malware puede interceptar sesiones de banca móvil, superponiendo pantallas falsas (overlay attacks) para capturar credenciales y, posteriormente, automatizar transferencias económicas sin intervención del usuario mediante scripts ATS.
– **Relay NFC:** RATOn manipula el hardware NFC del dispositivo para retransmitir transacciones en tiempo real, permitiendo fraudes en pagos contactless incluso a distancia.
– **C2 y ofuscación:** Utiliza canales cifrados HTTPS y DNS tunneling para comunicarse con su servidor de comando y control (C2), dificultando su detección.
– **IoCs conocidos:** Dominios tipo raton-c2[.]xyz, direcciones IP del rango 185.128.40.0/24, certificados autofirmados y aplicaciones con permisos de accesibilidad y administración de dispositivos.

Impacto y Riesgos

El principal riesgo de RATOn reside en su capacidad para combinar sustracción de credenciales con automatización de movimientos bancarios y manipulación remota de NFC, lo que maximiza el potencial de fraude financiero. El malware ha logrado evadir soluciones tradicionales de seguridad móvil, afectando ya a más de 50.000 dispositivos en Europa y Latinoamérica, según estimaciones recientes. El impacto económico se cifra en varios millones de euros en pérdidas directas, sin contar el coste reputacional y las sanciones regulatorias (por ejemplo, bajo el GDPR o la inminente NIS2).

Medidas de Mitigación y Recomendaciones

Para reducir el riesgo asociado a RATOn, los expertos recomiendan una combinación de medidas técnicas y operativas:

– **Actualización y parcheo:** Mantener todos los dispositivos con la última versión de Android y aplicar los parches de seguridad recomendados.
– **Restricción de permisos:** Limitar los permisos de accesibilidad y administración de dispositivos, especialmente para aplicaciones instaladas fuera de Google Play.
– **Monitorización de tráfico:** Implementar soluciones EDR/EPP móviles con capacidades de análisis de tráfico cifrado y detección de anomalías en el uso de NFC.
– **Protección frente a overlays:** Utilizar aplicaciones bancarias que incluyan sistemas antioverlay y detección de ATS.
– **Concienciación:** Formación continua de usuarios y empleados sobre ingeniería social y riesgos de instalar aplicaciones desde fuentes no oficiales.
– **Bloqueo de IoCs:** Configurar firewalls y proxies para bloquear los IoCs asociados a RATOn.

Opinión de Expertos

Según David López, analista senior de amenazas móviles en S21sec, “RATOn representa una convergencia inédita de técnicas, unificando ataques a capas de hardware y software del dispositivo. Su automatización de transferencias y manipulación de NFC lo convierten en una amenaza prioritaria para el sector financiero y cualquier empresa con operaciones móviles críticas”.

Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas bajo el ámbito de la NIS2 o regulaciones financieras, la presencia de RATOn exige reforzar los controles de seguridad móvil, integrar la supervisión de dispositivos BYOD y revisar las políticas de acceso remoto. Los usuarios particulares deben extremar la precaución con los permisos concedidos y confiar únicamente en apps de fuentes oficiales.

Conclusiones

La aparición de RATOn marca un antes y un después en el panorama del malware móvil, al fusionar técnicas de relay NFC, overlay y automatización de fraude. Su capacidad de evasión, modularidad y enfoque en la banca móvil exigen una respuesta coordinada entre el sector privado y los organismos reguladores, así como una adaptación urgente de las estrategias de defensa y respuesta ante incidentes.

(Fuente: feeds.feedburner.com)