Golpe do “TikTok +18” invade seu celular, rouba conta bancária, WhatsApp e mais

Pesquisadores estão observando a evolução do malware RatOn, anteriormente capaz apenas de clonar pagamentos por aproximação NFC, para uma ferramenta complexa de acesso remoto — um trojan que consegue realizar fraudes através do sistema de transferência automatizada (ATS), monitorar o celular e roubar senhas recebidas por WhatsApp, mensagens e mais.

• Brasil é o principal alvo de malwares bancários na América Latina; se proteja
• Como age o malware que lê imagens do celular achado pela primeira vez no iPhone

As funções mais modernas do RatOn incluem a capacidade de roubar aplicativos de criptomoedas, como MetaMask, Trust, Blockchain.com e Phantom, além de fazer transferências bancárias às escuras.

Seus ataques imitam a tela do celular para capturar senhas e credenciais e conseguem até mesmo travar o celular para pedir resgates. Até o momento, as fraudes foram vistas apenas na República Tcheca e Eslováquia.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Como funciona o RatOn

A primeira amostra do RatOn foi vista na internet em 5 de julho de 2025, reaparecendo em mais casos no dia 29 de agosto, com novas capacidades, indicando trabalho contínuo dos cibercriminosos. Segundo analistas, o malware se espalha através de links falsos da Play Store que atraem usuários com ofertas de conteúdo adulto ou de entretenimento, como um “TikTok +18”, por exemplo. Após baixar o app dropper, que traz o conteúdo malicioso embutido, o trojan é instalado.

Após alocado, o vírus pede permissões do usuário para instalar aplicativos de terceiros por fora das lojas oficiais, evitando medidas do Google contra infecção no Android. Mais funções do malware são baixadas, pedindo direitos de administração do dispositivo e acesso aos serviços de acessibilidade, bem como permissão para ler e modificar contatos e mexer nas configurações.

Por fim, o app concede a si mesmo permissões adicionais para baixar mais etapas do malware, sendo o NFSkate propriamente dito, variante de uma ferramenta de pesquisa legítima chamada NFCGate. Na fase ransomware da infecção, o celular é bloqueado e pressiona o usuário a pagar resgate em criptomoedas — ao abrir o aplicativo para fazer a transação, os hackers capturam o PIN de acesso e passam a controlar a conta da vítima.

Podendo gravar a tela e acessar WhatsApp, Facebook, e-mail e aplicativos de mensagem SMS, os golpistas ainda conseguem interceptar a autenticação por duas etapas do usuário, obtendo controle total de todas as suas contas. Até agora, no ambiente bancário, só foram vistos ataques no aplicativo de banco George Česko, da Tchéquia, algo que intriga os especialistas.

Embora o RatOn não tenha chegado ao Brasil, é importante ter alguns cuidados para evitar invasões de malwares, como não dar permissões além das necessárias para apps, usar autenticação de dois ou mais fatores nas suas contas, não clicar em links suspeitos e nunca instalar aplicativos fora da Google Play ou App Store.

Veja também:

• Trojans bancários e ladrões de dados são as maiores ameaças do 3º trimestre
• Agent Tesla: Brasil entra na mira de vírus que realiza ataques em massa
• Google Play Store deleta 77 apps maliciosos que somavam 19 milhões de downloads

VÍDEO | IPHONE TEM VÍRUS? | Dicas | #shorts

Leia a matéria no Canaltech.