RatOn: Android-Trojaner stiehlt Geld automatisch

Ein neuer Android-Trojaner namens „RatOn“ versetzt Cybersicherheitsexperten in Alarmbereitschaft. Die Malware kann nicht nur Bankdaten abgreifen, sondern automatisch Geld überweisen und sogar kontaktlose Zahlungen in Geschäften durchführen.

Die Entdeckung erfolgt zu einem kritischen Zeitpunkt: Laut Kaspersky stiegen Angriffe auf Android-Nutzer im ersten Halbjahr 2025 um 29 Prozent gegenüber dem Vorjahreszeitraum. Diese Entwicklung zeigt, wie raffiniert Cyberkriminelle mittlerweile das weltweit beliebteste mobile Betriebssystem angreifen.

Anzeige: Angesichts des starken Anstiegs von Android-Angriffen möchten viele Leser ihr Smartphone schnell besser absichern. Die meisten übersehen genau die 5 Maßnahmen, die WhatsApp, Online-Banking und PayPal zuverlässig schützen. Ein kompakter Gratis-Ratgeber erklärt die wichtigsten Schritte leicht verständlich – ganz ohne Zusatz-Apps. Jetzt das kostenlose Android?Sicherheitspaket sichern

Dreifache Bedrohung durch fortschrittliche Technik

Die Sicherheitsfirma ThreatFabric, die den Trojaner erstmals identifizierte, warnt vor einer gefährlichen Evolution mobiler Bedrohungen. RatOn kombiniert drei Angriffsmethoden: Zunächst zeigt die Malware gefälschte Anmeldemasken über echten Banking- oder Krypto-Apps an, um Zugangsdaten zu stehlen.

Das eigentlich Bedrohliche folgt jedoch danach: Ein integriertes Automated Transfer System (ATS) navigiert durch infizierte Banking-Apps, gibt gestohlene PINs ein und überweist Geld – komplett ohne Wissen des Nutzers.

Die dritte Komponente macht RatOn besonders gefährlich: Eine Near Field Communication (NFC) Relay-Funktion ermöglicht es Angreifern, die kompromittierten Zahlungsdaten für kontaktlose Einkäufe in physischen Geschäften zu nutzen. Ein Angreifer kann die Kartendaten vom infizierten Smartphone auslesen und sofort an ein Zahlungsterminal weiterleiten.

Gezielte Verbreitung über gefälschte Apps

Die erste Angriffswelle konzentriert sich auf tschechische und slowakische Nutzer. RatOn verbreitet sich über gefälschte Webseiten mit pornografischen Inhalten und tarnt sich als „TikTok 18+“-App.

Sobald Nutzer die schädliche Anwendung herunterladen, fordert sie invasive Berechtigungen an – besonders den Zugriff auf Androids Bedienungshilfen. Diese missbraucht RatOn für automatisierte Bildschirmaktionen und Überweisungen.

Obwohl bisher hauptsächlich die tschechische Banking-App George ?esko attackiert wird, bedroht RatOn auch beliebte Kryptowährungs-Wallets wie MetaMask, Trust Wallet und Blockchain.com. Nach einem Befehl kann die Malware Krypto-Apps starten, mit gestohlenen PINs entsperren und sensible Wiederherstellungsphrasen stehlen.

Samsung-Sicherheitslücke verschärft die Lage

Die RatOn-Entdeckung fällt zeitlich mit einem dramatischen Anstieg der Android-Malware zusammen. Malwarebytes berichtete über einen Anstieg von 151 Prozent bei Android-Schadsoftware und 147 Prozent bei Spyware im ersten Halbjahr.

Zusätzlich verschärft wird die Situation durch kritische Systemschwachstellen: Samsung veröffentlichte diese Woche ein Notfall-Update für eine schwerwiegende Zero-Day-Lücke (CVE-2025-21043), die bereits aktiv ausgenutzt wurde. Die Schwachstelle in einer Bildverarbeitungs-Bibliothek könnte Angreifern die Fernausführung von Schadcode auf Samsung-Geräten mit Android 13 bis 16 ermöglichen.

Anzeige: Übrigens: Wer sich vor Betrugs-Apps, missbrauchten Bedienungshilfen und NFC-Tricks schützen möchte, findet eine klare Schritt-für-Schritt-Anleitung mit praxisnahen Einstellungen. So härten Sie Ihr Gerät, prüfen Berechtigungen und aktivieren automatische Updates – ohne Fachchinesisch. Kostenlosen Ratgeber „5 Schutzmaßnahmen fürs Android?Smartphone“ herunterladen

Schutzmaßnahmen für Nutzer

Sicherheitsexperten warnen: Die RatOn-Gruppe besitzt die Fähigkeit, ihre Angriffe auf andere Banken und Länder auszuweiten. Das modulare Design der Malware macht sie zu einer ernsten Bedrohung für das globale Mobile-Banking.

Cybersicherheitsprofis empfehlen folgende Schutzmaßnahmen:

• Nur offizielle Quellen nutzen: Apps ausschließlich über den Google Play Store herunterladen
• Berechtigungen prüfen: Vorsicht bei Apps, die Zugriff auf Bedienungshilfen fordern
• Sofortige Updates: Sicherheitsupdates von Herstellern und Google umgehend installieren
• Sicherheitssoftware verwenden: Seriöse mobile Sicherheitsanwendungen können bekannte Bedrohungen erkennen

Die erste RatOn-Probe wurde am 5. Juli 2025 entdeckt, aktualisierte Versionen folgten bis zum 29. August – ein Zeichen für die kontinuierliche Weiterentwicklung dieser gefährlichen Malware.