Logo TecMundo
Segurança

Novo malware RatOn pode roubar contas bancárias e invadir conta WhatsApp

Mais sofisticado que os malwares comuns, o RatOn combina transferências bancárias automáticas, ransomware e ataques a aplicativos de comunicação

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule10/09/2025, às 18:15

updateAtualizado em 10/09/2025, às 22:36

Fonte:

Pesquisadores de segurança descobriram que o grupo de cibercriminosos NFSkate, conhecido por clonar pagamentos por aproximação via NFC, evoluiu para uma ameaça mais sofisticada. Batizado de RatOn, o novo trojan combina ataques bancários automatizados, roubo de dados e controle remoto total do celular, incluindo invasão de aplicativos de comunicação como o WhatsApp

O ataque do RatOn começa quando o usuário baixa o dropper, que é um app disfarçado de algo inofensivo, geralmente com temática adulta ou de entretenimento. Ao abrir o dropper, ele pede permissão para instalar apps de fora da loja oficial, o que já é um alerta vermelho. Se o usuário aceita, o dropper baixa o payload, que é a parte realmente maliciosa do malware. Esse payload pede permissões de Acessibilidade e Device Admin, permitindo que o malware veja e controle praticamente tudo no celular - desde abrir aplicativos até clicar em botões e digitar informações sem que você perceba.

smart_display

Nossos vídeos em destaque

Como o RatOn afeta bancos e WhatsApp?

Esse avanço preocupa especialistas porque mostra como o NFSkate deixou de atuar apenas em golpes de NFC relay — que clonam pagamentos sem contato — para desenvolver um trojan completo, com funções de RAT (Remote Access Trojan). Isso significa que o malware não só rouba dinheiro, como também dá controle remoto aos criminosos, permitindo operações automatizadas e furtivas.

raton-exploração
RatOn usa versões maliciosas de aplicativos de entretenimento para conseguir permissões de acesso total ao dispositivo. Imagem: DIvulgação/Threat Fabric

Uma vez instalado, o RatOn monitora os aplicativos usados. Ele pode identificar quando o usuário abre o aplicativo do banco, do WhatsApp, ou qualquer app que envolva senhas e códigos de verificação. Para o banco, ele faz duas coisas principais: cria overlays falsos sobre o aplicativo verdadeiro, pedindo PINs, senhas e códigos de autenticação, e aciona o ATS (Automated Transfer System) para fazer transferências automaticamente. Ou seja, enquanto o usuário acha que está apenas olhando seu saldo, o malware pode estar enviando dinheiro para os criminosos sem que ele perceba. Até este momento da investigação, apenas um banco na República Checa havia sido afetado por essa exploração.

Leia Mais
Drone ucraniano acha 'armazém de antiguidades' durante missão

No caso do WhatsApp, o RatOn é igualmente perigoso. Ele consegue ler mensagens recebidas em segundo plano, incluindo códigos de verificação (2FA) que normalmente protegiam sua conta. Além disso, ele pode criar overlays falsos que pedem para você digitar códigos ou confirmar ações, e capturar essas informações imediatamente. Com isso, o atacante consegue assumir sua conta, enviar mensagens para contatos, pedir dinheiro ou espalhar links maliciosos, tudo sem que você perceba. Ele também pode interceptar notificações e usar seu celular para clonar contas em outros serviços que dependem do WhatsApp para verificação.

Por que o RatOn preocupa especialistas?

De acordo com as investigações do Threat Fabric, que descobriu a ameaça, a primeira amostra relacionada foi montada em 5 de julho de 2025 e a mais recente em 29 de agosto de 2025. O que significa que o grupo de agentes de ameaças se concentra em novos desenvolvimentos de malware há pelo menos dois meses. 

A ameaça também foi capaz de atacar algumas carteiras de criptomoedas específicas, como MetaMask, Trust, com (piuk.blockchain.android) e Phantom.

Outro módulo do RatOn, o NFSkate, permite ataques via NFC relay, que são transações por aproximação. Se o usuário realiza pagamentos por aproximação com seu cartão ou celular, o malware consegue “espelhar” a operação e realizar compras em outro local, sem que você precise tocar em nada. Isso acontece em paralelo às transferências automáticas do ATS, tornando o ataque extremamente rápido e eficiente.

Leia Mais
Malware Keenadu ataca celulares Android de brasileiros
rat-on.jpg
Imagem gerada por IA/Gemini

O malware ainda mantém persistência no aparelho: mesmo que você reinicie o celular, ele pode se manter ativo graças às permissões de Device Admin. Ele pode também bloquear o celular, exibir telas de resgate ou impedir que você desinstale o malware. Isso transforma qualquer tentativa de intervenção manual em algo muito mais difícil.

Por isso, ele é considerado uma das ameaças móveis mais avançadas: é modular, automatizado, silencioso e capaz de atacar tanto finanças quanto comunicação pessoal.

Como evitar ser vítima do RatOn?

Algumas medidas de segurança básica fazem diferença na hora de se proteger de ameaças desse tipo. 

  • Nunca instale apps fora da Google Play;
  • Não dar permissões que pareçam estranhas para aplicativos recém instalados;
  • Use autenticação forte no banco e no WhatsApp, prefira sempre biometria em vez de PIN ou senha;
  • Ative a confirmação em duas etapas no WhatsApp (aquele PIN extra além do SMS);
  • Não clique em links suspeitos.

Quer ficar sabendo mais sobre novos tipos de golpes e vulnerabilidades? Acompanhe o TecMundo nas redes sociais e no YouTube. Para receber notícias de segurança e tecnologia, inscreva-se na nossa newsletter!
 

Perguntas Frequentes

O que é o malware RatOn e por que ele é considerado tão perigoso?
RatOn é um trojan avançado desenvolvido pelo grupo NFSkate. Ele combina diversas técnicas maliciosas, como controle remoto do celular (RAT), roubo de dados bancários, invasão de aplicativos como o WhatsApp e até ataques via NFC relay. Sua sofisticação está na capacidade de automatizar transferências bancárias, espionar o uso do aparelho e manter-se ativo mesmo após reinicializações, tornando-o uma das ameaças móveis mais avançadas já identificadas.
Como o RatOn se instala no celular da vítima?
O ataque começa com o download de um "dropper", um aplicativo disfarçado de conteúdo inofensivo, geralmente com temática adulta ou de entretenimento. Ao ser aberto, o app solicita permissão para instalar aplicativos de fora da loja oficial. Se o usuário permite, o dropper baixa o "payload", a parte maliciosa do malware, que então solicita permissões de Acessibilidade e Device Admin, garantindo controle total do dispositivo.
De que forma o RatOn afeta contas bancárias?
O RatOn monitora o uso de aplicativos bancários e pode sobrepor telas falsas para capturar PINs, senhas e códigos de autenticação. Além disso, utiliza um sistema chamado ATS (Automated Transfer System) para realizar transferências bancárias automaticamente, sem que o usuário perceba. Até o momento, um banco na República Checa foi confirmado como alvo.
O que o RatOn pode fazer com o WhatsApp da vítima?
O malware consegue ler mensagens recebidas em segundo plano, inclusive códigos de verificação (2FA), e criar sobreposições falsas para capturar informações sensíveis. Com isso, os criminosos podem assumir a conta da vítima, enviar mensagens, solicitar dinheiro ou espalhar links maliciosos, além de clonar contas em outros serviços que usam o WhatsApp para verificação.
O que são permissões de Acessibilidade e Device Admin e por que são perigosas?
Permissões de Acessibilidade permitem que um app leia e interaja com a interface do sistema, como clicar em botões ou ler textos. Já a permissão de Device Admin dá ao app controle administrativo do aparelho, dificultando sua remoção. Quando concedidas a um malware como o RatOn, essas permissões permitem controle total e persistente do dispositivo.
O que é um ataque via NFC relay e como o RatOn o utiliza?
Um ataque via NFC relay permite que transações por aproximação (como pagamentos com cartão ou celular) sejam clonadas e replicadas em outro local. O módulo NFSkate do RatOn consegue espelhar essas operações, realizando compras sem que o usuário perceba, tornando o ataque rápido e eficiente.
Quais medidas de segurança ajudam a evitar infecções pelo RatOn?
Para se proteger, é essencial: não instalar apps fora da Google Play; evitar conceder permissões suspeitas a novos aplicativos; usar autenticação forte com biometria; ativar a verificação em duas etapas no WhatsApp; e não clicar em links suspeitos. Essas práticas reduzem significativamente o risco de infecção.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 2 horas
Fone Bluetooth HUAWEI FreeClip 2
51% off

Compre já!

Fone Bluetooth HUAWEI FreeClip 2

R$ 643,00

Áudio amazon.com.brnew_releases
Controle DualSense, PS5
26% off

Imperdível!

Controle DualSense, PS5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
Smartphone POCO C85, 256GB
37% off

Cupom GANHOU50

Smartphone POCO C85, 256GB

R$ 994,76

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA