RatOn-Trojaner bedroht Bankkonten in Mitteleuropa

Ein neuer Android-Trojaner namens „RatOn“ alarmiert Cybersecurity-Experten weltweit. Die hochentwickelte Malware kann Bankkonten vollautomatisch plündern und dabei sogar Zwei-Faktor-Authentifizierung umgehen.

Erstmals im Juli 2025 entdeckt, kombiniert der Schädling Fernzugriff, automatisierte Geldtransfers und Datendiebstahl in einem gefährlichen Paket. Die Hacker-Gruppe NFSkate verbreitet den Trojaner über gefälschte Apps, die sich als jugendfreie Versionen beliebter Social-Media-Plattformen tarnen.

Was RatOn besonders gefährlich macht: Das integrierte Automated Transfer System (ATS) kann völlig autonom Überweisungen ausführen – ohne dass Nutzer etwas davon bemerken.

Perfide Tarnung als Adult-App

Der Infektionsweg folgt einem raffinierten Schema. Kriminelle locken Opfer mit Apps wie „TikTok18+“ auf dubiose Websites und gefälschte App-Stores. Wer diese vermeintlichen Erwachsenen-Versionen herunterlädt, tappt in die Falle.

Zunächst fordert die App harmlos wirkende Berechtigungen an – darunter die Installation aus unbekannten Quellen. Dieser Schritt ist entscheidend, denn er hebelt Androids Sicherheitsmechanismen aus.

Anschließend nutzt RatOn eine WebView-Oberfläche, um Opfer zur Aktivierung der Bedienungshilfen zu bewegen. Diese eigentlich für Menschen mit Behinderungen konzipierte Funktion wird zur Waffe: Sie ermöglicht dem Trojaner, den Bildschirm zu lesen, Gesten auszuführen und weitere Berechtigungen automatisch zu erteilen.
Anzeige: Übrigens: Wer sein Android gegen genau solche Übernahme-Tricks absichern will, findet die 5 wichtigsten Schutzmaßnahmen kompakt erklärt – ohne teure Zusatz-Apps. Der kostenlose Ratgeber zeigt Schritt für Schritt, welche Einstellungen Sie jetzt prüfen sollten und wie Sie WhatsApp, Banking- und Krypto-Apps besser schützen. Jetzt das kostenlose Android‑Sicherheitspaket sichern

Vollautomatischer Raubzug auf Bankkonten

RatOn übertrifft herkömmliche Banking-Trojaner bei weitem. Das Herzstück bildet ein automatisches Überweisungssystem, das selbstständig durch Banking-Apps navigiert, Zahlungsdetails einträgt und Transaktionen bestätigt.

Dank der gekaperten Bedienungshilfen umgeht die Malware biometrische Sicherheitsmaßnahmen und Verhaltensanalysen mühelos. Parallel dazu setzt RatOn auf bewährte Overlay-Angriffe: Gefälschte Login-Masken über echten Banking-Apps fangen Zugangsdaten ab.

Ein integrierter Keylogger protokolliert jeden Tastendruck – von Passwörtern bis zu Krypto-Wallet-Wiederherstellungsphrasen. Besonders perfide: RatOn kann den Bildschirm sperren und eine Ransomware-Attacke vortäuschen. Angeblich hätten Nutzer illegale Inhalte betrachtet und müssten zur Entsperrung Kryptowährung zahlen.

Von Tschechien bis MetaMask

Der Angriff konzentriert sich zunächst auf Tschechien und die Slowakei. Speziell die Banking-App „George Česko“ steht im Visier – die Malware kennt deren Bedienoberfläche bis ins Detail.

Doch RatOn zielt auch auf Krypto-Wallets wie MetaMask, Trust Wallet, Blockchain.com und Phantom. Sobald diese Apps geöffnet werden, späht der Trojaner Wiederherstellungsphrasen und PINs aus.

Eine zweite Schadfunktion namens NFSkate ermöglicht NFC-Relay-Angriffe. Dabei leiten Kriminelle kontaktlose Zahlungsdaten vom Opfer-Handy auf ihr eigenes Gerät um – für betrügerische Käufe.

Mobile Bedrohungen explodieren

RatOn spiegelt einen besorgniserregenden Trend wider: Cyberkriminelle verlagern ihren Fokus massiv auf mobile Plattformen. Kaspersky meldete 2024 einen 3,6-fachen Anstieg bei Banking-Trojanern auf Smartphones.

Dr. Web registrierte allein im zweiten Quartal 2025 einen Zuwachs von 73,15 Prozent bei Android-Banking-Malware. RatOn vereint bewährte Angriffstechniken seiner Vorgänger wie Cerberus oder SharkBot – und entwickelt sie weiter.

Besonders brisant: Die Malware zeigt keine Code-Überschneidungen mit bekannten Schädlingsfamilien. Das erschwert die Erkennung durch herkömmliche Sicherheitssoftware erheblich.

Expansion nach Deutschland denkbar

Obwohl sich RatOn momentan auf Mitteleuropa beschränkt, rechnen Experten mit einer baldigen Ausweitung. Die ausgeklügelte Architektur und die Fokussierung auf international beliebte Krypto-Wallets deuten darauf hin.

Wahrscheinlich testen die Hacker ihre Methoden zunächst in kleineren Märkten, bevor sie deutsche oder internationale Banking-Apps ins Visier nehmen. SAP-Kunden und Nutzer der Sparkassen-Apps könnten künftig ebenfalls betroffen sein.
Anzeige: Passend zum Thema mobile Bedrohungen: Viele Android-Nutzer übersehen ausgerechnet diese fünf Grundschutz-Schritte. Das kostenlose Sicherheitspaket erklärt sie leicht verständlich – ideal für Online-Banking, PayPal und Wallets – inklusive Checklisten für geprüfte Apps und automatische Prüfungen. Kostenlosen Ratgeber per E‑Mail anfordern

Schutz bietet nur eiserne Disziplin: Apps ausschließlich aus dem Google Play Store herunterladen, Berechtigungen für Bedienungshilfen kritisch hinterfragen und Google Play Protect aktiviert lassen. Zusätzliche Mobile-Security-Lösungen können das Risiko weiter senken.