RatOn: Neue Android-Malware vereint Banking-Betrug mit NFC-Attacken

Eine hochentwickelte neue Android-Schadsoftware namens „RatOn“ bereitet Sicherheitsexperten Sorge. Die Malware kombiniert erstmals NFC-Relay-Angriffe mit automatischen Überweisungen – und nimmt gezielt Nutzer in Mitteleuropa ins Visier.

Doppelschlag gegen Smartphone-Banking

Was RatOn so gefährlich macht? Die Malware beherrscht gleich zwei Angriffsmethoden. Einerseits kann sie kontaktlose Zahlungen über NFC abfangen und an Kriminelle weiterleiten. Andererseits übernimmt sie vollautomatisch die Kontrolle über Banking-Apps und führt eigenständig Überweisungen aus.

Das Sicherheitsunternehmen ThreatFabric entdeckte die Schadsoftware erstmals im Juli 2025. Seitdem entwickeln die Hintermänner das Programm kontinuierlich weiter – die jüngsten Varianten stammen aus dem August.

„RatOn verschmilzt traditionelle Overlay-Attacken mit automatischen Geldtransfers und NFC-Relay-Funktionen zu einer einzigartig mächtigen Bedrohung“, warnen die Sicherheitsforscher.

Anzeige: Passend zum Thema Android-Sicherheit: Viele Banking-Trojaner nutzen genau die Berechtigungen und Tricks, die im Alltag leicht übersehen werden. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android?Smartphone – mit einfachen Schritt?für?Schritt-Anleitungen für WhatsApp, Online?Banking, PayPal & Co. So schließen Sie typische Lücken, prüfen Apps und richten automatische Schutzfunktionen korrekt ein. Jetzt das kostenlose Sicherheitspaket für Android sichern

Perfider Installationstrick über gefälschte Apps

Die Verbreitung erfolgt über raffinierte Social-Engineering-Taktiken. Kriminelle locken Nutzer auf gefälschte Google Play Store-Seiten, die schädliche Apps anbieten. Ein Beispiel: Eine vorgeblich erwachsenenorientierte „TikTok 18+“-Version soll Nutzer zum Download verleiten.

Besonders betroffen: Tschechisch- und slowakischsprachige Smartphone-Besitzer stehen im Fokus der Cyberkriminellen. Der mehrstufige Installationsprozess hebelt systematisch Androids Sicherheitsmechanismen aus.

Nach der Installation fordert die App zunächst die Berechtigung für Drittanbieter-Installationen an. Danach folgt eine zweite Stufe, die umfassende Systemrechte einfordert – einschließlich Geräte-Administration und Barrierefreiheitsdienste.

Automatische Geldtransfers ohne Nutzerwissen

Das eigentliche Kernstück der Malware ist ihr Automated Transfer System (ATS). Durch Missbrauch der Barrierefreiheits-Berechtigungen kann RatOn Banking-Apps eigenständig steuern:

• Automatisches Öffnen von Finanz-Anwendungen
• Eingabe gestohlener PINs
• Navigation durch die Benutzeroberfläche
• Ausführung von Überweisungen an Täterkonten

Parallel dazu lädt die Malware eine dritte Komponente namens „NFSkate“ nach – eine bösartige Variante des Forschungstools NFCGate. Diese kann NFC-Daten von Zahlungskarten oder mobilen Geldbörsen abfangen und an von Angreifern kontrollierte Geräte weiterleiten.

Spezieller Fokus auf tschechische Banken und Kryptowährungen

RatOn zielt gezielt auf die „George ?esko“-Banking-App ab, die in Tschechien weit verbreitet ist. Diese regionale Ausrichtung deutet auf eine bewusste Kampagne gegen bestimmte Nutzergruppen hin.

Darüber hinaus kann die Malware Kryptowährungs-Wallets leeren. Unterstützt werden Plattformen wie:
– MetaMask
– Trust Wallet
– Blockchain.com
– Phantom

Als zusätzliche Manipulation setzt RatOn auf Erpressung im Ransomware-Stil. Das Programm kann das Gerät sperren und falsche Anschuldigungen anzeigen – etwa wegen des angeblichen Betrachtens illegaler Inhalte. Die geforderte Zahlung in Kryptowährung soll Opfer dazu verleiten, ihre Wallet-Apps zu öffnen.

Einzigartige Entwicklung alarmiert Experten

Die Kombination aus NFC-Relay-Attacken und vollautomatischen Überweisungen ist praktisch beispiellos. „Fälle, in denen sich ein Trojaner von einem simplen Relay-Tool zu einem RAT mit ATS-Fähigkeiten entwickelt, sind praktisch unbekannt“, betonen die ThreatFabric-Analysten.

RatOn wurde komplett neu entwickelt und teilt keinen Code mit bekannter Android-Banking-Malware. Das zeigt: Cyberkriminelle reagieren auf verbesserte Bankensicherheit mit immer raffinierteren Methoden.

Schutz vor der wachsenden Bedrohung

Da RatOn aktiv weiterentwickelt wird, dürfte sich die Bedrohung auf weitere Länder und Finanzdienstleister ausweiten. Experten empfehlen mehrschichtige Schutzmaßnahmen:

Sofortmaßnahmen für Nutzer:
– Apps ausschließlich aus dem offiziellen Play Store installieren
– Installationen aus unbekannten Quellen grundsätzlich ablehnen
– Berechtigungsanfragen kritisch prüfen – besonders bei Barrierefreiheitsdiensten
– Google Play Protect aktiviert lassen
– Mobile Sicherheitslösungen nutzen

Anzeige: Für alle, die ihre Geräte über die Sofortmaßnahmen hinaus absichern möchten: Der Gratis?Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android?Smartphone“ zeigt anschaulich, wie Sie Berechtigungen richtig setzen, Play Protect optimal nutzen und sensible Apps zusätzlich schützen. In wenigen Minuten umsetzbar – auch für Einsteiger. Kostenlosen Android?Ratgeber per E?Mail erhalten

Die kontinuierliche Weiterentwicklung von RatOn macht deutlich: Die Bedrohungslandschaft für Mobile Banking wird zunehmend komplexer. Nur durch konsequente Vorsicht können sich Nutzer vor diesen ausgeklügelten Angriffen schützen.