RatOn-Trojaner: Android-Banking unter Beschuss
Der neue Android-Schädling RatOn kombiniert Banküberweisungen, NFC-Zahlungsmissbrauch und Kryptowallet-Diebstahl in einer einzigen Malware, die aktuell in Osteuropa aktiv ist und sich weiterentwickelt.
Ein neuer Android-Schädling namens „RatOn“ terrorisiert Nutzer in Osteuropa. Der Trojaner kombiniert erstmals drei gefährliche Angriffsmethoden in einem einzigen Programm: automatische Banküberweisungen, kontaktlose Zahlungsangriffe und Kryptowallet-Diebstahl.
Seit Juli entwickelt sich die Malware rasant weiter. Cybersicherheitsforscher der Firma ThreatFabric warnen vor einer neuen Qualität mobiler Bedrohungen. Aktuell konzentrieren sich die Angriffe auf Nutzer in Tschechien und der Slowakei doch Experten befürchten eine baldige Ausweitung.
Dreifach-Schlag gegen das Konto
Was RatOn so gefährlich macht, ist die Kombination dreier Angriffsvektoren. Das Automated Transfer System (ATS) navigiert selbstständig durch Banking-Apps und führt betrügerische Überweisungen aus. Aktuell im Visier: die George ?esko Banking-App, die in Tschechien weit verbreitet ist.
Besonders perfide ist die zweite Komponente: NFC-Relay-Angriffe mittels der integrierten NFSkate-Funktion. Dabei nutzen Kriminelle die Zahlungsdaten des Opfers für Einkäufe vor Ort während sich das gehackte Smartphone hunderte Kilometer entfernt befindet. Ein Komplize präsentiert lediglich ein Empfangsgerät am Kartenterminal.
Der dritte Baustein sind klassische Overlay-Angriffe. Gefälschte Anmeldemasken täuschen über echte Banking- und Krypto-Apps hinweg. Ein integrierter Keylogger zeichnet zusätzlich alle Eingaben auf PINs, Passwörter und Geheimcodes landen direkt bei den Angreifern.
Kryptowährungen im Fadenkreuz
Neben traditionellem Online-Banking hat RatOn Kryptowährungen fest im Blick. MetaMask, Trust Wallet, Blockchain.com und Phantom alle großen Wallet-Apps sind bedroht. Sobald der Trojaner Zugriff erhält, kann er gezielt eine Krypto-App öffnen, mit der gestohlenen PIN entsperren und die geheimen Wiederherstellungsphrasen auslesen.
Besonders zynisch: Weigern sich Nutzer, ihre Wallet-Apps zu öffnen, setzt RatOn auf Erpressung. Das Smartphone wird gesperrt, ein Fake-Hinweis beschuldigt das Opfer illegaler Inhalte. Die Forderung: 200 Euro in Kryptowährung binnen zwei Stunden. Ziel ist es, die Nutzer in Panik zu versetzen und zum Öffnen der Wallet zu drängen.
Von Grund auf neu entwickelt
ThreatFabric-Analysen zeigen: RatOn ist keine Weiterentwicklung bekannter Malware, sondern ein völlig neuer Schädling. Die ersten Exemplare tauchten am 5. Juli 2025 auf, die jüngste Version stammt vom 29. August. Die Entwickler arbeiten kontinuierlich an Verbesserungen.
Die Infektion beginnt über gefälschte Play Store-Seiten mit verlockenden Apps wie „TikTok 18+“. Nach dem Download fordern die Dropper-Programme umfassende Berechtigungen ein kritischer Moment, den viele Nutzer unterschätzen.
Anzeige: Passend zum Thema Android-Sicherheit genau diese unterschätzten Momente nutzen Schädlinge wie RatOn aus. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen mit einfachen Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking, PayPal und Ihre Apps. Sichern Sie Ihr Smartphone ohne teure Zusatz-Apps und schließen Sie typische Lücken in Minuten. Jetzt das kostenlose Android-Sicherheitspaket anfordern
Was Nutzer jetzt tun sollten
Experten erwarten eine baldige Ausweitung der Kampagnen auf weitere Länder. Der Rat der Sicherheitsforscher ist eindeutig: Apps nur aus dem offiziellen Play Store laden, Berechtigungsanfragen kritisch prüfen und mobile Sicherheitssoftware verwenden.
Besondere Vorsicht gilt bei Apps, die Zugriff auf Bedienungshilfen verlangen ein Warnsignal für potenzielle Trojaner. Wer diese Grundregeln beherzigt, kann sich gegen die neue Generation mobiler Bedrohungen wappnen.
