Una nuova minaccia sta mettendo alla prova la tenuta della cybersecurity sul mondo Android: si chiama RatOn ed è un malware scoperto per la prima volta nel luglio 2025, in grado di rubare le credenziali bancarie in maniera molto sofisticata.
Quello che rende questo trojan particolarmente insidioso è infatti la sua abilità di agire autonomamente sui conti correnti delle vittime, avviando dei trasferimenti di denaro senza alcun intervento umano da parte dei cybercriminali. I ricercatori di ThreatFabric, la società di cybersecurity che ha individuato questa minaccia, hanno voluto approfondire il suo funzionamento, scoprendo qualcosa di molto pericoloso per gli utenti colpiti.
Motorola edge 60, 8/256 GB
50+50+10MP, 6.67'' pOLED 120Hz, Batteria 5200mAh, ricarica 68W, Android 15
Come funziona RatOn
Il focus primario di RatOn sono state le app bancarie ceche – con particolare attenzione all’app George Česko – ma le sue mire si sono estese anche ai wallet di criptovalute più diffusi come MetaMask, Trust Wallet, Blockchain.com e Phantom. La scelta di queste piattaforme non è stata certamente casuale: le criptovalute sono infatti un obiettivo particolarmente appetibile per i cybercriminali, considerato che le transazioni sono irreversibili e spesso difficili da tracciare.
Per quanto riguarda il funzionamento del trojan, una volta installato sugli smartphone delle vittime RatOn dimostra capacità di automazione molto avanzate, con il malware che è in grado di navigare autonomamente attraverso le interfacce delle app bancarie, simulando l’interazione umana con elevata precisione. RatOn convince pertanto l’app di aver inserito il codice PIN necessario e di aver compiuto tutti i passaggi utili per completare i trasferimenti non autorizzati con la naturalezza di un utente esperto.
RatOn non si accontenta però di essere un semplice trojan bancario. Gli sviluppatori hanno infatti integrato anche funzionalità ransomware, dimostrando una versatilità che peggiora il suo impatto sulla sicurezza. Il malware può infatti visualizzare messaggi falsi che simulano il blocco del dispositivo, accusando l’utente di aver visualizzato contenuti illegali e richiedendo il pagamento di 200 dollari in criptovaluta per sbloccare lo smartphone, con una strategia del ricatto che non è certo nuova nel settore dei malware, ma che in RatOn risulta essere particolarmente convincente e professionale.
Come si sta diffondendo RatOn
La diffusione di RatOn sta avvenendo attraverso canali che sfruttano le debolezze comportamentali degli utenti Android: i cybercriminali hanno per esempio allestito degli app store fasulli che si spacciano per versioni “adult-oriented” di applicazioni popolari, con particolare focus su presunte versioni per adulti di TikTok, denominate “TikTok 18+”. Gli store malevoli aggirano le protezioni del Google Play Store utilizzando tecniche di sideloading, installando le applicazioni attraverso file APK scaricati da fonti esterne al Play Store ufficiale.
Per quanto riguarda la diffusione territoriale, attualmente RatOn concentra le sue attività principalmente nella Repubblica Ceca e in Slovacchia, dimostrando una profonda conoscenza dei sistemi bancari locali da parte degli sviluppatori e, probabilmente, la volontà di testare il malware su un mercato circoscritto prima di un’eventuale espansione globale.
Tuttavia, gli esperti di cybersecurity avvertono che l’evoluzione tecnica dimostrata da RatOn la rende facilmente adattabile ad altri mercati, perché la struttura modulare e la qualità del codice suggeriscono che l’espansione geografica potrebbe essere solo una questione di tempo e di opportunità.
Come difendersi da RatOn
La difesa contro minacce come RatOn segue regole ben consolidate contro i malware. La prima regola da seguire è quella di evitare il download di file APK da fonti non ufficiali e sospette, soprattutto quando questi vengono pubblicizzati attraverso siti web di dubbia reputazione o link sospetti ricevuti tramite messaggi non sollecitati. L’utilizzo esclusivo di store ufficiali come il Google Play Store è dunque la prima linea di difesa, sebbene non sia una garanzia assoluta di sicurezza. Per gli utenti che possiedono wallet di criptovalute sui loro dispositivi Android, gli esperti consigliano di considerare l’utilizzo di un dispositivo dedicato esclusivamente a questo scopo, separato da quello utilizzato per la navigazione quotidiana e il download di applicazioni.
È inoltre sempre consigliabile l’implementazione dell’autenticazione a due fattori su tutte le applicazioni bancarie e finanziarie, così come effettuare un controllo frequente e regolare degli estratti conto e delle transazioni.