RatOn-Trojaner: Automatisierter Bankraub per Android-App
Neue Android-Banking-Malware RatOn führt vollautomatische Überweisungen durch, während Google kritische Zero-Day-Lücken patcht. Sicherheitsupdates sind dringend erforderlich.
Ein hochentwickelter Android-Trojaner namens RatOn“ raubt vollautomatisch Bankkonten aus. Gleichzeitig flickt Google kritische Sicherheitslücken, die bereits aktiv ausgenutzt werden eine explosive Mischung für Android-Nutzer weltweit.
Die Entdeckung der RatOn-Malware markiert einen Wendepunkt bei mobilen Bedrohungen. Sicherheitsforscher berichten: Der Trojaner kombiniert klassische Overlay-Angriffe mit einem automatisierten Überweisungssystem und NFC-Relay-Funktionen. Das macht ihn zur bislang gefährlichsten Banking-Malware für Smartphones.
Parallel dazu kämpfen Gerätehersteller gegen kritische Zero-Day-Lücken, von denen eine bereits aktiv ausgenutzt wird. Meta’s WhatsApp-Sicherheitsteam hatte die Schwachstelle gemeldet. Diese doppelte Bedrohung unterstreicht: Sofortige Updates sind überlebenswichtig.
Anzeige: Übrigens: Wer sein Android?Smartphone gegen Banking?Malware und Datendiebe besser absichern möchte, braucht keine teuren Zusatz?Apps. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für WhatsApp, Online?Banking & Co. Schritt für Schritt und leicht verständlich. Jetzt das kostenlose Android?Sicherheitspaket sichern
RatOn: Der selbstständige Bankräuber
Die Sicherheitsfirma ThreatFabric analysierte die neuen Malware-Fähigkeiten. RatOn wurde komplett neu programmiert ohne Code-Ähnlichkeiten zu bekannten Banking-Trojanern. Erstmals entdeckt am 5. Juli 2025, neueste Versionen vom 29. August 2025: Die Entwicklung läuft auf Hochtouren.
Der Hauptverbreitungsweg? Eine gefälschte, pornografische TikTok-Version (TikTok 18+“) auf nachgemachten Play Store-Seiten. Perfide: Die App wirkt täuschend echt.
Das automatisierte Überweisungssystem (ATS) ist der Höhepunkt der Cyberkriminalität. Nach der Installation täuscht RatOn Nutzer, um umfassende Berechtigungen zu erhalten besonders den Zugang zu Bedienungshilfen. Dann übernimmt die Malware komplett die Gerätekontrolle.
Das ATS kann Banking-Apps öffnen, gestohlene PINs eingeben, durch Menüs navigieren und betrügerische Überweisungen ausführen alles ohne weitere Nutzerinteraktion. Zusätzlich protokolliert ein Keylogger alle Eingaben. Als Krönung kann RatOn Ransomware-ähnliche Sperrbildschirme aktivieren.
Krypto-Wallets im Visier
Neben traditionellen Banking-Apps visiert RatOn beliebte Kryptowährungs-Wallets an: MetaMask, Trust Wallet, Blockchain.com und Phantom. Nach einem Befehl vom Kontrollserver öffnet die Malware Wallet-Apps, entsperrt sie mit gestohlenen PINs und navigiert zu den Einstellungen.
Ziel: Die geheimen Wiederherstellungsphrasen. Mit diesen Phrasen übernehmen Angreifer vollständige Kontrolle über digitale Vermögenswerte der Opfer.
Das NFSkate-Modul nutzt Ghost Tap“-Techniken für NFC-Relay-Angriffe. Die Malware missbraucht kontaktlose Bezahlfunktionen für betrügerische Einkäufe ohne dass Angreifer physisch anwesend sein müssen. Diese Kombination aus automatischen Überweisungen, Krypto-Übernahmen und NFC-Betrug macht RatOn zum vielseitigsten Android-Banking-Trojaner aller Zeiten.
Anzeige: Passend zum Thema: Der Gratis?Guide erklärt, wie Sie Berechtigungen richtig setzen, Apps prüfen, NFC sicher konfigurieren und wichtige Updates automatisieren genau die Hebel, die gegen Trojaner wie RatOn wirken. Kompakt, praxistauglich und ohne Fachchinesisch. Kostenlosen Sicherheits?Leitfaden für Android anfordern
Google flickt aktiv ausgenutzte Zero-Days
Googles September-2025-Update ist besonders kritisch: 120 Schwachstellen werden gepatcht. Darunter zwei schwerwiegende Zero-Day-Lücken CVE-2025-38352 (Kernel) und CVE-2025-48543 (Android Runtime). Google bestätigte begrenzte, gezielte Ausnutzung“ dieser Schwachstellen.
Noch brisanter: Samsung patchte eine separate kritische Zero-Day-Lücke (CVE-2025-21043) in seinem September-Update. Diese Out-of-Bounds-Write-Schwachstelle in einer Bildverarbeitungsbibliothek ermöglicht Remote-Code-Ausführung. Samsungs Warnung ist eindeutig: Ein Exploit existierte bereits in freier Wildbahn.“
Die Lücke betrifft Android-Versionen 13 bis 16 auf Samsung-Geräten. Meta und WhatsApp meldeten sie am 13. August 2025 vertraulich.
Neue Ära autonomer Cyberkriminalität
RatOn spiegelt einen Paradigmenwechsel wider: Banking-Trojaner werden autonom. Während ältere Malware auf Overlay-Bildschirme angewiesen war, führen neue ATS-Varianten Betrug von A bis Z durch. Das reduziert Zeit und Aufwand für Angreifer drastisch.
Die Zero-Day-Lücken verdeutlichen den Dauerdruck im Android-Ökosystem. Besonders CVE-2025-21043 bereitet Sorgen: Schwachstellen in Medienverarbeitungsbibliotheken lassen sich oft durch Zero-Click-Angriffe ausnutzen etwa beim Empfang speziell präparierter Bilder via Messenger.
Google führt ein neues risikobasiertes Update-System“ (RBUS) ein. Kritische Bedrohungen werden priorisiert gepatcht, weniger schwere Probleme vierteljährlich abgearbeitet.
Sofortiger Schutz erforderlich
Android-Nutzer sollten unverzüglich die September-Sicherheitspatches installieren. Die Updates werden nach Herstellerplan verteilt. Gegen RatOn-Bedrohungen hilft: Nur Apps aus dem offiziellen Google Play Store herunterladen und bei umfassenden Berechtigungsanfragen besonders Bedienungshilfen-Zugang höchst skeptisch bleiben.
Sicherheitsforscher überwachen die RatOn-Kampagne weiter. Aktuell visiert die Malware eine tschechische Bank an, Expansion wird erwartet. Für Gerätehersteller läuft ein Wettlauf: Google Critical Patches müssen schnellstmöglich an alle Nutzer verteilt werden.
Die Botschaft ist klar: System-Updates ohne Verzögerung prüfen und installieren.
