{"id":11683,"date":"2025-09-11T17:04:04","date_gmt":"2025-09-11T20:04:04","guid":{"rendered":"https:\/\/fenati.org.br\/?p=11683"},"modified":"2025-09-12T10:48:53","modified_gmt":"2025-09-12T13:48:53","slug":"raton-combina-golpes-bancarios-sequestro-whatsapp","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/raton-combina-golpes-bancarios-sequestro-whatsapp\/","title":{"rendered":"RatOn: novo malware combina golpes banc\u00e1rios e sequestro de WhatsApp"},"content":{"rendered":"<p><strong>RatOn &#8211;<\/strong> Pesquisadores de seguran\u00e7a identificaram que o grupo de cibercriminosos NFSkate \u2014 antes associado a golpes de clonagem de pagamentos via NFC \u2014 desenvolveu uma amea\u00e7a muito mais elaborada.<\/p>\n<p>Trata-se do RatOn, um trojan que une ataques financeiros, roubo de informa\u00e7\u00f5es e controle remoto completo do dispositivo, com capacidade de acessar inclusive aplicativos de comunica\u00e7\u00e3o como o <a href=\"https:\/\/pt.wikipedia.org\/wiki\/WhatsApp\" rel=\"nofollow noopener\" target=\"_blank\">WhatsApp<\/a>.<\/p>\n<p><strong><a href=\"https:\/\/fenati.org.br\/en\/sindplay-lanca-curso-compreensao-pensamentos-disfuncionais\/\">LEIA: Sindplay lan\u00e7a curso para compreens\u00e3o e corre\u00e7\u00e3o de pensamentos disfuncionais<\/a><\/strong><\/p>\n<p>O ataque come\u00e7a com o dropper, aplicativo disfar\u00e7ado de inofensivo, geralmente com temas adultos ou de entretenimento. Ao ser aberto, ele solicita permiss\u00e3o para instalar apps de fora da loja oficial, um claro ind\u00edcio de risco.<\/p>\n<p>Caso o usu\u00e1rio aceite, o dropper baixa o payload, a parte realmente nociva, que solicita permiss\u00f5es de Acessibilidade e Administrador do Dispositivo. Dessa forma, o malware passa a enxergar e controlar praticamente todas as a\u00e7\u00f5es no celular \u2014 abrir apps, digitar dados e interagir com a tela sem que o dono perceba.<\/p>\n<h4>Como o RatOn compromete bancos e WhatsApp<\/h4>\n<p>O avan\u00e7o preocupa especialistas porque mostra a transi\u00e7\u00e3o do NFSkate: de fraudes com NFC relay para a cria\u00e7\u00e3o de um trojan completo, com fun\u00e7\u00f5es t\u00edpicas de RAT (Remote Access Trojan). Assim, o RatOn n\u00e3o apenas desvia dinheiro, mas tamb\u00e9m entrega aos criminosos o controle remoto do aparelho para realizar opera\u00e7\u00f5es autom\u00e1ticas e discretas.<\/p>\n<p>Uma vez instalado, o malware observa quais aplicativos est\u00e3o em uso. Quando o usu\u00e1rio abre o app do banco, do WhatsApp ou qualquer outro que envolva autentica\u00e7\u00e3o, ele age de duas formas principais no ambiente banc\u00e1rio:<\/p>\n<p>&#8211; Cria telas falsas sobrepostas ao app leg\u00edtimo, coletando PINs, senhas e c\u00f3digos de autentica\u00e7\u00e3o;<br \/>\n&#8211; Ativa o ATS (Automated Transfer System), que realiza transfer\u00eancias sem que o usu\u00e1rio perceba.<\/p>\n<p>At\u00e9 agora, os pesquisadores confirmaram impacto em apenas um banco da Rep\u00fablica Checa.<\/p>\n<p>No caso do WhatsApp, a amea\u00e7a \u00e9 igualmente cr\u00edtica: o RatOn l\u00ea mensagens recebidas em segundo plano, inclusive c\u00f3digos de autentica\u00e7\u00e3o (2FA). Al\u00e9m disso, exibe falsos formul\u00e1rios pedindo senhas e confirma\u00e7\u00f5es, capturando imediatamente os dados.<\/p>\n<p>Dessa forma, os atacantes podem assumir a conta, enviar mensagens aos contatos, solicitar transfer\u00eancias ou compartilhar links maliciosos. O malware tamb\u00e9m consegue interceptar notifica\u00e7\u00f5es e usar o n\u00famero da v\u00edtima para clonar contas em outros servi\u00e7os que dependem do WhatsApp para verifica\u00e7\u00e3o.<\/p>\n<h4>Por que o RatOn gera tanta preocupa\u00e7\u00e3o?<\/h4>\n<p>Segundo relat\u00f3rio do Threat Fabric, respons\u00e1vel pela descoberta, a primeira amostra foi detectada em 5 de julho de 2025 e a mais recente em 29 de agosto do mesmo ano \u2014 evid\u00eancia de que o grupo tem trabalhado continuamente em novos m\u00f3dulos.<\/p>\n<p>O malware mostrou ainda capacidade de atacar algumas carteiras de criptomoedas, como MetaMask, Trust, com.piuk.blockchain.android e Phantom.<\/p>\n<p>Outro recurso \u00e9 o m\u00f3dulo do NFSkate para ataques de NFC relay, que permitem duplicar pagamentos por aproxima\u00e7\u00e3o. Assim, ao usar cart\u00e3o ou celular em uma transa\u00e7\u00e3o, o RatOn pode \u201cespelhar\u201d a opera\u00e7\u00e3o e efetuar compras em outro local simultaneamente. Esse m\u00e9todo funciona em paralelo \u00e0s transfer\u00eancias autom\u00e1ticas do ATS, tornando o ataque ainda mais \u00e1gil e dif\u00edcil de detectar.<\/p>\n<p>O trojan tamb\u00e9m garante persist\u00eancia no sistema: mesmo ap\u00f3s reiniciar o celular, ele permanece ativo gra\u00e7as \u00e0s permiss\u00f5es de administrador. Pode bloquear o dispositivo, exigir resgate ou impedir a desinstala\u00e7\u00e3o manual, dificultando qualquer tentativa de remo\u00e7\u00e3o.<\/p>\n<p>Por essa soma de recursos, o RatOn \u00e9 classificado como uma das amea\u00e7as m\u00f3veis mais avan\u00e7adas j\u00e1 vistas: modular, automatizado, silencioso e capaz de comprometer tanto finan\u00e7as quanto a comunica\u00e7\u00e3o pessoal.<\/p>\n<h4>Como se proteger contra o RatOn<\/h4>\n<p>Especialistas recomendam pr\u00e1ticas b\u00e1sicas de seguran\u00e7a digital para reduzir o risco de infec\u00e7\u00e3o:<br \/>\n&#8211; Nunca instale aplicativos de fora da Google Play;<br \/>\n&#8211; Desconfie de permiss\u00f5es incomuns em apps rec\u00e9m-instalados;<br \/>\n&#8211; Prefira autentica\u00e7\u00e3o biom\u00e9trica a senhas ou PINs nos apps banc\u00e1rios e no WhatsApp;<br \/>\n&#8211; Ative a confirma\u00e7\u00e3o em duas etapas no WhatsApp (aquele PIN adicional al\u00e9m do SMS);<br \/>\n&#8211; Evite clicar em links suspeitos.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de TecMundo)<\/strong><\/em><br \/>\n<em><strong>(Foto: Reprodu\u00e7\u00e3o\/Freepik\/user19739995)<\/strong><\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Malware utiliza sobreposi\u00e7\u00e3o de telas, roubo de credenciais e sistema automatizado de transfer\u00eancias<\/p>","protected":false},"author":11,"featured_media":11684,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-11683","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=11683"}],"version-history":[{"count":1,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11683\/revisions"}],"predecessor-version":[{"id":11685,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/11683\/revisions\/11685"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/11684"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=11683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=11683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=11683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}