RatOn: Gefährlichste Android-Malware entdeckt
Der neuartige RatOn-Trojaner vereint Banking-Betrug, Ransomware und NFC-Angriffe in einer Bedrohung. Sicherheitsexperten warnen vor der Ausbreitung der Schadsoftware, die über gefälschte TikTok-Apps verbreitet wird.
Eine hochentwickelte Android-Schadsoftware versetzt Cybersicherheitsforscher in Alarmbereitschaft. Der als „RatOn“ bezeichnete Trojaner vereint Banking-Betrug, Ransomware-Funktionen und NFC-Relay-Angriffe zu einer bisher beispiellos gefährlichen Bedrohung. Die Entdeckung erfolgt inmitten eines dramatischen Anstiegs der mobilen Malware-Aktivität in 2025.
RatOn markiert eine neue Dimension bei Banking-Trojanern. Laut dem Sicherheitsunternehmen ThreatFabric hat sich die Malware von einem einfachen Tool zu einem sophisticated Remote Access Trojan (RAT) entwickelt. Besonders brisant: Das integrierte Automated Transfer System (ATS) führt Betrugsaktionen direkt auf dem Gerät aus – völlig ohne Wissen des Nutzers.
Tarnung als „TikTok 18+“ – Perfider Trick
Sicherheitsanalysten entdeckten erste RatOn-Exemplare im Juli 2025, neueste Versionen stammen aus dem August. Die Verbreitung erfolgt über gefälschte Google Play Store-Seiten, die eine angebliche Erwachsenenversion von TikTok namens „TikTok 18+“ bewerben.
Bisher konzentrieren sich die Angriffe auf tschechische und slowakische Nutzer. Doch Experten warnen: Die Ausgereiftheit der Malware deutet auf baldige internationale Expansion hin.
Der Infektionsweg ist perfide durchdacht: Nach Installation der Dropper-App fordert RatOn kritische Berechtigungen – insbesondere die Installation von Drittanbieter-Apps. Dieser Schritt ist entscheidend, da er Googles Sicherheitsmaßnahmen in modernen Android-Versionen umgeht. Anschließend wird die zweite Payload-Stufe ausgeliefert, die Geräteadministrator- und Zugänglichkeitsrechte verlangt.
Anzeige: Übrigens: Wer sich vor genau solchen Android-Bedrohungen schützen möchte, kann mit wenigen Einstellungen sehr viel erreichen – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Sideloading-Fallen vermeiden, Berechtigungen korrekt setzen und Banking, WhatsApp & Co. absichern. Mit Checklisten und leicht verständlichen Anleitungen für den Alltag. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Dreifache Bedrohung: ATS, NFC-Relay und Ransomware
Was RatOn besonders gefährlich macht? Die Fusion mehrerer Angriffsmethoden in einem einzigen Tool. Der Trojaner nutzt Androids Accessibility-Services für umfassende Gerätekontrolle und überwacht Nutzeraktionen, stiehlt Anmeldedaten per Keylogger und platziert täuschende Overlays über legitime Banking- und Kryptowährungs-Apps.
Das Automated Transfer System (ATS) gilt als besonders heimtückisch: Es initiiert und vollzieht Finanztransaktionen direkt auf dem kompromittierten Gerät – durch Missbrauch legitimer Banking-App-Funktionen.
Zusätzlich integriert RatOn das NFSkate-Modul für NFC-Relay-Angriffe. Diese „Ghost Tap“ genannte Technik ermöglicht kontaktlose Zahlungen ohne Nutzereinverständnis. Weitere Funktionen: gefälschte Push-Benachrichtigungen, Kontakt-Manipulation und SMS-Versand.
Krypto-Wallets im Visier: 200 Dollar Lösegeld
RatOn geht über reinen Diebstahl hinaus und zeigt Ransomware-Charakteristika. Die Malware sperrt Geräte und fordert Lösegeldzahlungen – in einer Variante 200 Dollar in Kryptowährung binnen zwei Stunden.
Besonders perfide: Diese Erpressung zwingt Nutzer zum Öffnen ihrer Crypto-Apps – genau darauf hat es RatOn abgesehen. Der Trojaner zielt auf PIN-Codes und Wiederherstellungsphrasen populärer Wallets wie MetaMask, Trust Wallet und Phantom. Die gestohlenen Daten wandern an Angreifer-Server, ermöglichen komplette Wallet-Plünderung ohne weitere Nutzerinteraktion.
Bemerkenswert: RatOn wurde offenbar komplett neu entwickelt und teilt keinen Code mit bekannten Android-Banking-Trojanern – ein Indiz für die wachsende Professionalität der Entwickler.
Bedrohungslandschaft eskaliert dramatisch
RatOns Auftreten spiegelt einen beunruhigenden Trend wider: Angreifer entwickeln koordinierte, multifunktionale „Ökosysteme“ statt einfacher Einzelzweck-Malware. Malwarebytes berichtet von 151 Prozent mehr Android-Malware im ersten Halbjahr 2025, bei SMS-Angriffen sogar 692 Prozent Zuwachs zwischen April und Mai.
Diese Komplexitätssteigerung zeigt sich auch anderswo: Die neue „GodFather“-Trojaner-Version nutzt Gerätevirtualisierung zum Hijacking legitimer Banking-Apps. Die massive „SlopAds“-Kampagne platzierte 224 schädliche Apps im offiziellen Play Store – durch ausgeklügelte Verschleierung.
Schutzmaßnahmen für 3 Milliarden Android-Nutzer
Angesichts der eskalierenden Bedrohung empfehlen Sicherheitsexperten klare Schutzstrategien:
Sideloading vermeiden: Nur offizielle Play Store-Downloads nutzen. Links zu Drittanbieter-Websites misstrauen.
Berechtigungen prüfen: App-Zugriffsrechte sorgfältig bewerten. Skepsis bei umfangreichen Berechtigungen – besonders Accessibility-Services oder Geräteadministrator-Rechte.
Sofort-Updates aktivieren: Automatische Updates für Betriebssystem und Apps gewährleisten Schutz vor bekannten Schwachstellen.
Mobile Antivirensoftware: Renommierte Sicherheitslösungen helfen bei Erkennung und Blockierung schädlicher Anwendungen.
Anzeige: Passend dazu – wenn Sie Ihr Android jetzt konkret absichern möchten: Ein gratis Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen mit Schritt-für-Schritt-Anleitungen, Checklisten und praxistauglichen Einstellungen für Banking, Shopping und Messenger. So wird Ihr Smartphone in wenigen Minuten spürbar sicherer. Kostenlosen Android‑Sicherheits‑Guide herunterladen
Die kontinuierliche Entdeckung neuer Umgehungstechniken verdeutlicht das Katz-und-Maus-Spiel zwischen Cyberkriminellen und Sicherheitsexperten. Erst diesen Monat veröffentlichten Google und Samsung Notfall-Patches für aktiv ausgenetzte Zero-Day-Schwachstellen.
