RatOn-Trojaner: Neue Banking-Malware übernimmt Android-Geräte

Ein neuartiger Android-Trojaner namens „RatOn“ markiert eine gefährliche Eskalation bei mobilen Finanzbedrohungen. Die hochentwickelte Malware kombiniert mehrere Angriffsmethoden, um Banking-Zugangsdaten zu stehlen, Krypto-Wallets zu leeren und automatisch betrügerische Überweisungen auszuführen.

Sicherheitsforscher von ThreatFabric entdeckten den Trojaner bereits am 5. Juli 2025. Seither wird er kontinuierlich weiterentwickelt – die neueste Version stammt von Ende August. Was RatOn besonders gefährlich macht: Er vereint traditionelle Datendiebstahl-Techniken mit fortgeschrittenen Funktionen, die bisher als selten galten.

Die Malware wird über gefälschte Google Play Store-Seiten verbreitet, die eine nicht jugendfreie Version der TikTok-App („TikTok 18+“) bewerben. Nutzer laden dort eine Dropper-Anwendung herunter, die einen mehrstufigen Infektionsprozess startet. Einmal installiert, erschleicht sich die Malware weitreichende Berechtigungen – insbesondere für Androids Bedienungshilfen und Geräteverwaltung.

Anzeige: Übrigens: Wer sich jetzt gezielt vor Android-Malware, Datendieben und Kontoabgriffen schützen möchte, findet leicht umsetzbare Schritte in einem kompakten Gratis-Leitfaden. Der Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für WhatsApp, Online?Banking, PayPal & Co. – verständlich, ohne teure Zusatz?Apps. Inklusive Checklisten für Berechtigungen, geprüfte Apps und automatische Updates. Jetzt das kostenlose Android?Sicherheitspaket sichern

Vollautomatisierte Geldtransfers im Visier

Die Funktionen des Trojaners sind beeindruckend und beunruhigend zugleich. RatOn kann automatisiert Geldtransfers durchführen, indem er legitime Banking-Apps öffnet und Nutzereingaben simuliert. Dieses „Automated Transfer System“ (ATS) wurde bisher beim tschechischen Banking-Service „George ?esko“ beobachtet – ein Hinweis auf eine geografisch fokussierte Kampagne mit lokalen Geldwäschern.

Zusätzlich integriert RatOn das NFC-Relay-Attackenmodul „NFSkate“. Damit können Angreifer die kontaktlosen Zahlungsdaten ihrer Opfer ferngesteuert an physischen Terminals nutzen. Auch beliebte Krypto-Wallets wie MetaMask, Trust, Blockchain.com und Phantom stehen im Fokus – hier stiehlt die Malware PIN-Codes und Wiederherstellungsphrasen.

Das Arsenal komplettiert eine Ransomware-ähnliche Funktion: RatOn kann das Gerät sperren und Lösegeld fordern.

Android-Malware nimmt dramatisch zu

RatOn ist kein Einzelfall. Sicherheitsorganisationen melden einen drastischen Anstieg bei Android-Malware für Finanzdatendiebstahl. Kaspersky allein entdeckte im zweiten Quartal 2025 über 42.000 Installationspakete für mobile Banking-Trojaner.

Andere Malware-Familien wie GodFather nutzen mittlerweile Geräte-Virtualisierung. Sie erstellen isolierte virtuelle Umgebungen auf dem Opfer-Handy und kapern dort legitime Banking-Apps in Echtzeit – statt nur Login-Bildschirme zu imitieren.

Die kontinuierliche Innovation bei der Malware-Entwicklung zeigt: Die offene Architektur von Android und die Vielzahl alternativer App-Stores machen das System zum Hauptziel krimineller Kampagnen.

Anzeige: Die jüngste Welle von Banking?Trojanern zeigt, wie wichtig grundlegende Vorsorge am Smartphone ist. Mit dem kostenlosen Sicherheitspaket setzen Sie in wenigen Minuten die 5 wirksamsten Android?Schutzmaßnahmen um – Schritt für Schritt, auch für Einsteiger. Perfekt, wenn Sie WhatsApp, Online?Shopping, PayPal oder Ihr Banking am Handy nutzen. Gratis herunterladen: 5 Schutzmaßnahmen für Ihr Android?Smartphone

Google führt Entwickler-Verifizierung ein

Als direkte Reaktion auf die Malware-Flut außerhalb des offiziellen Play Stores kündigt Google eine wichtige Sicherheitsänderung an. Entwickler, die Apps außerhalb des Play Stores verbreiten („Sideloading“), müssen künftig ihre Identität verifizieren lassen.

Googles Analyse belegt: Apps aus Internet-Quellen enthalten über 50-mal häufiger Malware als Play Store-Apps. Die neue Anforderung soll die Anonymität beenden, die Kriminelle bisher ausnutzten.

Das neue System startet im September 2026 in Brasilien, Indonesien, Singapur und Thailand. Die weltweite Einführung ist für 2027 und später geplant. Entwickler müssen sich über eine neue „Android Developer Console“ registrieren und identifizierende Informationen hinterlegen.

Wichtiger Hinweis: Es handelt sich um eine Identitätsprüfung, nicht um eine Inhaltskontrolle der Apps.

Neue Dimension krimineller Raffinesse

RatOn illustriert einen kritischen Wandel in der Bedrohungslandschaft. Kriminelle setzen nicht mehr auf einfache Malware, sondern entwickeln umfassende Toolkits. Diese kombinieren Social Engineering, technische Exploits und Automatisierung für maximale Erfolgsraten.

Die gezielte Attacke auf die tschechische Banking-App deutet auf professionelle Aufklärung und ein ausgeklügeltes Netzwerk zum Geldwaschen hin. Sicherheitsexperten erwarten, dass andere Gruppen die RatOn-Techniken adaptieren und auf Finanzinstitute in den USA und Europa ausweiten werden.

Schutzmaßnahmen für Nutzer:
– Apps nur aus offiziellen Quellen wie dem Google Play Store herunterladen
– Berechtigungsanfragen kritisch prüfen – besonders bei Bedienungshilfen und Geräteverwaltung
– Android-Geräte mit aktuellen Sicherheits-Updates versorgen

Googles September-2025-Update beispielsweise schloss über 120 Sicherheitslücken, darunter aktiv ausgenutzte Schwachstellen. Die Kombination aus Plattform-Sicherheit und informierten Nutzern bleibt der beste Schutz gegen die nächste Welle von Daten- und Finanzdiebstahl.