RatOn-Trojaner: Neuer Banking-Schädling kombiniert drei Angriffsmethoden

Cybersicherheitsexperten schlagen Alarm: Ein hochentwickelter Android-Trojaner namens „RatOn“ revolutioniert Mobile Banking-Attacken. Die Schadsoftware vereint automatisierte Geldtransfers, NFC-Relay-Angriffe und klassische Zugangsdaten-Diebstahl zu einer gefährlichen Dreifach-Bedrohung.

Laut einem aktuellen Bericht der Sicherheitsfirma ThreatFabric stellt RatOn eine bedeutende Evolution mobiler Schadsoftware dar. Der Trojaner kann Bankkonten leeren, Kryptowährungen stehlen und kontaktlose Zahlungen durchführen – ohne dass Opfer dies bemerken.

Dreifach-Angriff auf Banking-Apps

Was RatOn besonders gefährlich macht? Die Kombination verschiedener Betrugsstrategien in einem einzigen Schadprogramm. Herzstück bildet das Automated Transfer System (ATS), das eigenständig Finanztransaktionen vom Gerät des Opfers initiiert und abschließt.

Der Trojaner missbraucht Androids Bedienungshilfen – eigentlich für Menschen mit Behinderungen entwickelt. RatOn navigiert damit durch Banking-Apps, gibt Zahlungsdetails ein und autorisiert Überweisungen. Alles ohne Zutun des Nutzers.

Besonders raffiniert: Das NFSkate-Modul führt NFC-Relay-Attacken durch. Bei diesen „Ghost Tap“-Angriffen fängt die Malware kontaktlose Zahlungsdaten ab und leitet sie an ein zweites Gerät weiter. Kriminelle können so mit fremden Kartendaten an echten Terminals bezahlen.

Ergänzt werden diese Methoden durch bewährte Overlay-Angriffe: Gefälschte Login-Bildschirme erscheinen über echten Banking-Apps und sammeln Zugangsdaten.

Verbreitung durch gefälschte Apps

RatOn tarnt sich als „TikTok 18+“ – eine vermeintliche Erwachsenen-Version der beliebten Plattform. Die gefälschten Google Play Store-Seiten zielen derzeit auf tschechische und slowakische Nutzer ab. Experten warnen jedoch vor einer möglichen Ausweitung.

Nach der Installation fordert die Schadsoftware kritische Berechtigungen an, um Apps aus Drittquellen zu installieren. Damit umgeht sie zentrale Android-Sicherheitsmechanismen.

Besonders perfide: RatOn zeigt gefälschte Erpressernachrichten an. Diese behaupten, das Telefon sei wegen illegaler Inhalte gesperrt. Für die Freischaltung werden 175 Euro in Kryptowährung verlangt. Das wahre Ziel? Nutzer sollen ihre Krypto-Wallets öffnen. Dabei stiehlt die Malware PIN-Codes und übernimmt später die Accounts.

Anzeige: Übrigens: Wer sich vor Banking-Trojanern wie RatOn schützen möchte, muss nicht zur teuren Security-App greifen. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Maßnahmen, mit denen Sie Ihr Android zuverlässig absichern – mit Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Shopping, PayPal und Mobile-Banking. Viele Nutzer übersehen vor allem die Risiken rund um Bedienungshilfen und App-Quellen – der Guide erklärt, was wirklich wichtig ist. Jetzt das kostenlose Android?Sicherheitspaket sichern

Banken und Kryptowährungen im Visier

Die erste Version von RatOn fokussiert sich auf „George ?esko“, eine tschechische Banking-App. Die präzisen automatisierten Überweisungen zeigen: Die Entwickler kennen die Ziel-Anwendung genau.

Auch Kryptowährungen stehen im Fokus. RatOn attackiert MetaMask, Trust Wallet, Blockchain.com und Phantom. Nach einem Serverbefehl startet der Trojaner die entsprechende App, entsperrt sie mit der gestohlenen PIN und stiehlt die geheimen Wiederherstellungsphrasen. Damit übernehmen Angreifer vollständige Kontrolle über digitale Vermögenswerte.

Neue Dimension mobiler Bedrohungen

RatOn markiert einen Wendepunkt in der mobilen Bedrohungslandschaft. Während einzelne Taktiken bekannt sind, ist ihre Kombination in einer komplett neuen Malware besorgniserregend. Sicherheitsanalysten sehen Parallelen zu anderen hochentwickelten Android-Trojanern wie GodFather und Hook.

„RatOn vereint traditionelle Overlay-Attacken mit automatischen Geldtransfers und NFC-Relay-Funktionen – eine einzigartig mächtige Bedrohung“, warnt ThreatFabric. Da RatOn keinen Code mit bekannten Banking-Trojanern teilt, stammt er vermutlich von neuen, hochqualifizierten Cyberkriminellen.

Schutzmaßnahmen und Ausblick

Obwohl RatOn derzeit geografisch begrenzt agiert, könnte er schnell für andere Regionen angepasst werden. Erste Samples wurden am 5. Juli 2025 entdeckt, aktualisierte Versionen bis 29. August – die Entwicklung läuft weiter.

Anzeige: Passend zu den Schutzempfehlungen: Diese 5 praxistauglichen Einstellungen machen Ihr Android-Smartphone in Minuten spürbar sicherer. Der Gratis-Guide führt Sie Schritt für Schritt durch Berechtigungen, geprüfte App-Quellen und automatische Sicherheitsprüfungen – ganz ohne Fachchinesisch. Tipp 3 schließt eine häufig unterschätzte Lücke beim Mobile-Banking. Kostenlosen Sicherheits?Guide für Android anfordern

Schutzempfehlungen für Nutzer:
– Keine Apps aus inoffiziellen Quellen installieren
– Berechtigungsanfragen kritisch prüfen, besonders Bedienungshilfen
– Nur offizielle App Stores nutzen
– Verdächtige Pop-ups beim Mobile Banking melden

Finanzinstitute sollten ihre Betrugserkennung kontinuierlich aktualisieren, um automatisierte ATS-Muster zu identifizieren.