RatOn-Malware: Neue Android-Bedrohung für Banking und Krypto

Der neuartige Banking-Trojaner RatOn kombiniert automatische Überweisungen, NFC-Angriffe und Ransomware-Funktionen zu einer gefährlichen Bedrohung für Android-Nutzer in Mitteleuropa.

Eine hochentwickelte Android-Schadsoftware namens „RatOn“ versetzt Sicherheitsexperten in Alarmbereitschaft. Der neue Remote Access Trojaner kombiniert automatische Überweisungen, NFC-Angriffe und Ransomware-Funktionen zu einem besonders gefährlichen Werkzeug für Cyberkriminelle.

Erstmals am 5. Juli 2025 entdeckt, zeigt die Malware kontinuierliche Weiterentwicklung und zielt derzeit auf Nutzer in Mitteleuropa ab. Doch Experten warnen: Eine globale Ausbreitung ist nur eine Frage der Zeit.

Die Schadsoftware verbreitet sich hauptsächlich über gefälschte „TikTok 18+“-Apps auf nachgemachten Google Play Store-Seiten. Diese Köder verleiten ahnungslose Nutzer dazu, die vermeintlichen Erwachsenen-Versionen beliebter Apps zu installieren.

Anzeige: Apropos Android-Schadsoftware: Wer sein Smartphone jetzt gezielt absichern will, sollte die wichtigsten Stellschrauben kennen. Viele Android-Nutzer übersehen genau diese 5 Maßnahmen – dabei schützen sie WhatsApp, Online‑Banking und Wallets zuverlässig vor Datendieben. Der kostenlose Ratgeber zeigt alle Schritte leicht verständlich, ganz ohne Zusatz-Apps. Jetzt das Gratis‑Sicherheitspaket für Android sichern

Raffinierte Infektionskette in drei Stufen

RatOn setzt auf eine mehrstufige Infiltrationsstrategie. Die ursprüngliche Dropper-App täuscht Nutzer, um weitreichende Berechtigungen zu erhalten – insbesondere den Zugriff auf Androids Bedienungshilfen. Diese eigentlich für Menschen mit Behinderungen entwickelten Services sind ein beliebtes Ziel für Malware, da sie Bildschirminhalte lesen und automatische Aktionen ausführen können.

Nach erfolgter Berechtigung installiert der Dropper eine zweite Payload. Diese verschafft sich Geräte-Admin-Rechte und lädt schließlich die finale RatOn-Version – manchmal auch als „NFSkate“ bezeichnet.

Das Ergebnis? Angreifer können den Bildschirm streamen, das Gerät sperren, Systemeinstellungen ändern und gezielt Apps für betrügerische Aktivitäten starten. Besonders brisant: Die Malware wurde komplett neu entwickelt und teilt keinen Code mit bekannten Banking-Trojanern.

Angriff auf digitale Geldbörsen

RatOns Hauptziel ist schlicht: Geld stehlen. Die Malware zielt gezielt auf populäre Krypto-Wallets wie MetaMask, Trust Wallet, Blockchain.com und Phantom ab. Bei traditionellen Banken demonstrierte sie bereits automatische Überweisungen über die tschechische George Česko Banking-App.

Das gefährlichste Feature ist das Automated Transfer System (ATS). Durch Missbrauch der Bedienungshilfen startet die Malware Banking-Apps, navigiert durch Menüs, gibt gestohlene PINs ein und führt Überweisungen auf Täterkonten aus – völlig unbemerkt vom Opfer. Zusätzlich nutzt RatOn klassische Overlay-Angriffe mit gefälschten Login-Masken.

Anzeige: Während Kriminelle ATS und Overlays ausnutzen, reicht oft eine saubere Grundeinstellung, um den Schaden zu verhindern. Das kostenlose Sicherheitspaket erklärt Schritt für Schritt, wie Sie Berechtigungen, Play Protect, Updates und Sperrbildschirm optimal konfigurieren – inklusive Checkliste fürs sichere Banking und Krypto‑Wallets. Ideal für Einsteiger, ohne technische Vorkenntnisse. Kostenlosen Android‑Sicherheitsratgeber per E‑Mail anfordern

Mehr als nur Diebstahl

RatOn beschränkt sich nicht auf direkten Finanzdiebstahl. Die Malware kann Ransomware-ähnliche Overlay-Bildschirme einblenden, die dem Nutzer vorwerfen, illegale Inhalte betrachtet zu haben. Angeblich hätten Strafverfolgungsbehörden das Telefon gesperrt – nur eine Zahlung von rund 200 US-Dollar in Kryptowährung könne es wieder freischalten.

Perfide: Diese Panik-Taktik soll Opfer dazu bringen, Krypto-Apps zu öffnen, wodurch die Malware PINs oder Seed-Phrasen abgreifen kann.

Zusätzlich beherrscht RatOn NFC-Relay-Angriffe. Das infizierte Telefon wird dabei als Mittelsmann für betrügerische kontaktlose Transaktionen missbraucht. Angreifer können so an Bezahlterminals oder Geldautomaten Zahlungen mit den gespeicherten Kartendaten des Opfers autorisieren.

Neue Dimension mobiler Bedrohungen

Die Sicherheitsfirma ThreatFabric betont: „Die automatischen Überweisungs-Features zeigen, dass die Angreifer die Interna der Ziel-Apps sehr genau kennen.“ Diese Tiefe des Wissens ermöglicht effektivere und schwerer erkennbare Attacken.

RatOns aktueller Fokus auf tschechisch- und slowakischsprachige Nutzer deutet auf eine gezielte Anfangskampagne hin. Die modulare Architektur erlaubt jedoch problemlose Anpassung an andere Regionen und Finanzinstitute.

Schutz vor der Bedrohung

Experten empfehlen folgende Schutzmaßnahmen:

• Keine Sideloads: Apps nur aus dem offiziellen Google Play Store installieren
• Berechtigungen prüfen: Besonders kritisch bei Bedienungshilfen oder Geräte-Administrator-Rechten
• Google Play Protect aktivieren: Die integrierte Android-Sicherheitsfunktion nutzen
• Mobile Sicherheitssoftware: Zusätzlichen Schutz durch Antiviren-Apps
• Updates installieren: Betriebssystem und Apps stets aktuell halten

Da die RatOn-Entwickler aktiv an neuen Features arbeiten, rechnen Sicherheitsexperten mit einer Ausweitung der Ziele und Funktionen. Wachsamkeit bleibt die beste Verteidigung gegen diese neue Generation mobiler Bedrohungen.

Weitere Artikel zum Thema

• 00:00 Uhr - Union künftig für Abschuss russischer
• 20.09.25 Uhr - RatOn-Malware: Neue Android-Bedrohung für
• 20.09.25 Uhr - Microsoft: Windows 10 und Office 2016/2019 werden
• 20.09.25 Uhr - Finanzbranche: KI-Cyberangriffe erreichen neue
• 20.09.25 Uhr - PayPal und Google: KI-Revolution im Online-Handel

• 20.09.25 Uhr - Mobile Banking: Trojaner-Angriffe vervierfachen
• 20.09.25 Uhr - PayPal revolutioniert Online-Shopping mit KI und
• 20.09.25 Uhr - Bericht: Evelyn Palla soll neue Bahn-Chefin werden
• 20.09.25 Uhr - Rheinmetall soll Lasersystem für Bundeswehr
• 20.09.25 Uhr - Google und Apple: Über 150 Sicherheitslücken