Pesquisadores de segurança descobriram que o grupo de cibercriminosos NFSkate, conhecido por clonar pagamentos por aproximação via NFC, evoluiu para uma ameaça mais sofisticada. Batizado de RatOn, o novo trojan combina ataques bancários automatizados, roubo de dados e controle remoto total do celular, incluindo invasão de aplicativos de comunicação como o WhatsApp. O ataque do RatOn começa quando o usuário baixa o dropper, que é um app disfarçado de algo inofensivo, geralmente com temática adulta ou de entretenimento. Ao abrir o dropper, ele pede permissão para instalar apps de fora da loja oficial, o que já é um alerta vermelho. Se o usuário aceita, o dropper baixa o payload, que é a parte realmente maliciosa do malware. Esse payload pede permissões de Acessibilidade e Device Admin, permitindo que o malware veja e controle praticamente tudo no celular - desde abrir aplicativos até clicar em botões e digitar informações sem que você perceba.Como o RatOn afeta bancos e WhatsApp?Esse avanço preocupa especialistas porque mostra como o NFSkate deixou de atuar apenas em golpes de NFC relay — que clonam pagamentos sem contato — para desenvolver um trojan completo, com funções de RAT (Remote Access Trojan). Isso significa que o malware não só rouba dinheiro, como também dá controle remoto aos criminosos, permitindo operações automatizadas e furtivas.RatOn usa versões maliciosas de aplicativos de entretenimento para conseguir permissões de acesso total ao dispositivo. Imagem: DIvulgação/Threat FabricUma vez instalado, o RatOn monitora os aplicativos usados. Ele pode identificar quando o usuário abre o aplicativo do banco, do WhatsApp, ou qualquer app que envolva senhas e códigos de verificação. Para o banco, ele faz duas coisas principais: cria overlays falsos sobre o aplicativo verdadeiro, pedindo PINs, senhas e códigos de autenticação, e aciona o ATS (Automated Transfer System) para fazer transferências automaticamente. Ou seja, enquanto o usuário acha que está apenas olhando seu saldo, o malware pode estar enviando dinheiro para os criminosos sem que ele perceba. Até este momento da investigação, apenas um banco na República Checa havia sido afetado por essa exploração.No caso do WhatsApp, o RatOn é igualmente perigoso. Ele consegue ler mensagens recebidas em segundo plano, incluindo códigos de verificação (2FA) que normalmente protegiam sua conta. Além disso, ele pode criar overlays falsos que pedem para você digitar códigos ou confirmar ações, e capturar essas informações imediatamente. Com isso, o atacante consegue assumir sua conta, enviar mensagens para contatos, pedir dinheiro ou espalhar links maliciosos, tudo sem que você perceba. Ele também pode interceptar notificações e usar seu celular para clonar contas em outros serviços que dependem do WhatsApp para verificação.Por que o RatOn preocupa especialistas?De acordo com as investigações do Threat Fabric, que descobriu a ameaça, a primeira amostra relacionada foi montada em 5 de julho de 2025 e a mais recente em 29 de agosto de 2025. O que significa que o grupo de agentes de ameaças se concentra em novos desenvolvimentos de malware há pelo menos dois meses. A ameaça também foi capaz de atacar algumas carteiras de criptomoedas específicas, como MetaMask, Trust, com (piuk.blockchain.android) e Phantom.Outro módulo do RatOn, o NFSkate, permite ataques via NFC relay, que são transações por aproximação. Se o usuário realiza pagamentos por aproximação com seu cartão ou celular, o malware consegue “espelhar” a operação e realizar compras em outro local, sem que você precise tocar em nada. Isso acontece em paralelo às transferências automáticas do ATS, tornando o ataque extremamente rápido e eficiente.Imagem gerada por IA/GeminiO malware ainda mantém persistência no aparelho: mesmo que você reinicie o celular, ele pode se manter ativo graças às permissões de Device Admin. Ele pode também bloquear o celular, exibir telas de resgate ou impedir que você desinstale o malware. Isso transforma qualquer tentativa de intervenção manual em algo muito mais difícil.Por isso, ele é considerado uma das ameaças móveis mais avançadas: é modular, automatizado, silencioso e capaz de atacar tanto finanças quanto comunicação pessoal.Como evitar ser vítima do RatOn?Algumas medidas de segurança básica fazem diferença na hora de se proteger de ameaças desse tipo. Nunca instale apps fora da Google Play;Não dar permissões que pareçam estranhas para aplicativos recém instalados;Use autenticação forte no banco e no WhatsApp, prefira sempre biometria em vez de PIN ou senha;Ative a confirmação em duas etapas no WhatsApp (aquele PIN extra além do SMS);Não clique em links suspeitos.Quer ficar sabendo mais sobre novos tipos de golpes e vulnerabilidades? Acompanhe o TecMundo nas redes sociais e no YouTube. Para receber notícias de segurança e tecnologia, inscreva-se na nossa newsletter!