RatOn-Malware: Neue Android-Bedrohung plündert Bankkonten automatisch

Eine hochentwickelte Android-Schadsoftware namens „RatOn“ greift gezielt Banking-Apps und Kryptowährungs-Wallets an. Die von der Cybersecurity-Firma ThreatFabric heute gemeldete Bedrohung kombiniert klassische Methoden zum Passwort-Diebstahl mit automatisierten Überweisungsfunktionen – eine bisher einzigartige Gefahr für Android-Nutzer.

Der neue Trojaner taucht zu einem kritischen Zeitpunkt auf: Laut einem gestern veröffentlichten Kaspersky-Report stiegen die Attacken auf Android-Nutzer im ersten Halbjahr 2025 um 29 Prozent gegenüber dem Vorjahreszeitraum. Besonders alarmierend: Die Zahl entdeckter Banking-Trojaner für Mobilgeräte war fast viermal höher.

Raffinierte Attacke auf digitale Geldbörsen

Banking-Trojaner der neuen Generation beschränken sich längst nicht mehr auf einfache Phishing-Masken. Diese Schadsoftware-Familien übernehmen inzwischen komplette Geräte und nutzen dabei raffinierte, schwer erkennbare Methoden.

RatOn entwickelte sich aus einem Tool für NFC-Relay-Angriffe zu einem vollwertigen Remote-Access-Trojaner mit automatischem Überweisungssystem. Erste Entdeckung: Juli 2025. Die Verbreitung erfolgt über gefälschte Google Play Store-Seiten, die sich als „Erwachsenen-Versionen“ beliebter Apps wie TikTok tarnen.

Anzeige: Apropos gefälschte Play-Store-Seiten und getarnte Apps: Viele Android-Nutzer übersehen genau die 5 Schutzmaßnahmen, die jetzt entscheidend sind. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online?Banking, PayPal und Krypto?Wallets vor Datendieben schützen – ganz ohne teure Zusatz?Apps. Kostenloses Android?Sicherheitspaket jetzt sichern

Hauptziele sind Nutzer der tschechischen Banking-App „George ?esko“ sowie Kryptowährungs-Wallets wie MetaMask und Trust Wallet. ThreatFabric erklärt: „RatOn verbindet traditionelle Overlay-Angriffe mit automatischen Geldtransfers und NFC-Relay-Funktionen – das macht die Bedrohung einzigartig mächtig.“

Parallel dazu expandiert die etablierte Malware-Familie Anatsa (auch TeaBot genannt) massiv. Zscaler’s ThreatLabz berichtet von über 831 anvisierten Finanzinstituten weltweit – ein Anstieg um mehr als 150 gegenüber früheren Versionen.

Google Play Store bleibt Einfallstor Nummer eins

Trotz Sicherheitsmechanismen wie Google Play Protect nutzen Cyberkriminelle weiterhin den offiziellen Android App Store als Hauptverteilungsweg. Die Methode: „Versioning“ – zunächst wird eine saubere, funktionsfähige App veröffentlicht, um Vertrauen aufzubauen. Wochen oder Monate später schleust ein Update den Schadcode ein.

Im August 2025 identifizierte Zscaler 77 bösartige Apps im Google Play Store, die Anatsa und andere Malware verbreiteten. Getarnt als PDF-Reader, QR-Code-Scanner oder Dateimanager erreichten sie insgesamt über 19 Millionen Downloads, bevor Google sie entfernte.

Barrierefreiheits-Dienste als Masterkey missbraucht

Ein gemeinsames Merkmal der gefährlichsten Android-Banking-Trojaner – RatOn, Anatsa und Vultur – ist der Missbrauch der Android-Barrierefreiheitsdienste. Diese eigentlich für Menschen mit Behinderungen entwickelten Funktionen ermöglichen Apps das Lesen von Bildschirminhalten und automatische Eingaben.

Sollten Anleger sofort verkaufen? Oder lohnt sich doch der Einstieg bei Bitcoin?

Einmal aktiviert, übernimmt die Malware nahezu vollständige Gerätekontrolle:

• Keylogging: Aufzeichnung aller Tastatureingaben inklusive Passwörter
• Credential-Diebstahl: Auslesen von SMS-TANs und Authenticator-Apps
• Sicherheits-Umgehung: Automatische Genehmigung eigener Berechtigungsanfragen
• Direkte Betrügereien: Navigation durch Banking-Apps, Ausfüllen von Überweisungsdaten und Transaktionsbestätigungen ohne Wissen des Nutzers

Anzeige: Wer die Barrierefreiheitsdienste versehentlich zu großzügig freigibt, macht es Trojanern leicht. Der Gratis?Leitfaden erklärt, welche Berechtigungen kritisch sind, wie Sie Updates prüfen und mit wenigen Handgriffen Ihr Android spürbar sicherer machen. Tipp 3 schließt eine oft unterschätzte Lücke. Hier das kostenlose Android?Sicherheitspaket anfordern

Industrialisierte Cyberkriminalität auf dem Vormarsch

Der Anstieg hochentwickelter Android-Banking-Malware spiegelt einen Trend zu professionelleren, skalierbareren Cyberverbrechen wider. Malware-as-a-Service-Modelle wie beim Octo-Trojaner ermöglichen weniger versierten Kriminellen die Anmietung mächtiger Schadtools – die Einstiegshürden sinken dramatisch.

Die Evolution von simplem Passwort-Diebstahl zu vollständiger Fernsteuerung und automatisierten Überweisungen zeigt: Angreifer kennen die internen Abläufe der anvisierten Banking-Apps im Detail. Sie stehlen nicht mehr nur die Schlüssel – sie fahren selbst das Auto.

Dieser fundamentale Wandel erfordert proaktivere Sicherheitsstrategien. Traditional fraud detection systems that flag logins from new locations become less effective when attackers operate directly from victims‘ devices.

Ausblick: Der Rüstungswettlauf geht weiter

Der Kampf gegen Mobile-Banking-Malware wird sich verschärfen. Experten erwarten weitere Verfeinerung der Angriffstechniken, KI-gestützte Phishing-Köder und noch automatisiertere Betrugsmaschen. Die Entwicklung von Malware mit Domain Generation Algorithms (DGA) macht Command-and-Control-Infrastrukturen widerstandsfähiger.

Schutzmaßnahmen für Verbraucher:
– App-Berechtigungen kritisch prüfen – besonders Barrierefreiheitsdienste
– Nur offizielle App Stores nutzen
– Misstrauen bei unaufgeforderten Software-Installationsaufforderungen

Finanzinstitute müssen weiterhin in fortschrittliche Bedrohungsanalyse investieren und gerätebezogene Sicherheitslösungen einsetzen, die verdächtige Verhaltensanalysen dieser modernen RAT-artigen Trojaner erkennen können.

Bitcoin: Kaufen oder verkaufen?! Neue Bitcoin-Analyse vom 9. September liefert die Antwort:

Die neusten Bitcoin-Zahlen sprechen eine klare Sprache: Dringender Handlungsbedarf für Bitcoin-Investoren. Lohnt sich ein Einstieg oder sollten Sie lieber verkaufen? In der aktuellen Gratis-Analyse vom 9. September erfahren Sie was jetzt zu tun ist.

Bitcoin: Kaufen oder verkaufen? Hier weiterlesen...