RatOn-Trojaner: Automatisierter Bankraub per Android-App

Ein hochentwickelter Android-Trojaner namens „RatOn“ raubt vollautomatisch Bankkonten aus. Gleichzeitig flickt Google kritische Sicherheitslücken, die bereits aktiv ausgenutzt werden – eine explosive Mischung für Android-Nutzer weltweit.

Die Entdeckung der RatOn-Malware markiert einen Wendepunkt bei mobilen Bedrohungen. Sicherheitsforscher berichten: Der Trojaner kombiniert klassische Overlay-Angriffe mit einem automatisierten Überweisungssystem und NFC-Relay-Funktionen. Das macht ihn zur bislang gefährlichsten Banking-Malware für Smartphones.

Parallel dazu kämpfen Gerätehersteller gegen kritische Zero-Day-Lücken, von denen eine bereits aktiv ausgenutzt wird. Meta’s WhatsApp-Sicherheitsteam hatte die Schwachstelle gemeldet. Diese doppelte Bedrohung unterstreicht: Sofortige Updates sind überlebenswichtig.

Anzeige: Übrigens: Wer sein Android?Smartphone gegen Banking?Malware und Datendiebe besser absichern möchte, braucht keine teuren Zusatz?Apps. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für WhatsApp, Online?Banking & Co. – Schritt für Schritt und leicht verständlich. Jetzt das kostenlose Android?Sicherheitspaket sichern

RatOn: Der selbstständige Bankräuber

Die Sicherheitsfirma ThreatFabric analysierte die neuen Malware-Fähigkeiten. RatOn wurde komplett neu programmiert – ohne Code-Ähnlichkeiten zu bekannten Banking-Trojanern. Erstmals entdeckt am 5. Juli 2025, neueste Versionen vom 29. August 2025: Die Entwicklung läuft auf Hochtouren.

Der Hauptverbreitungsweg? Eine gefälschte, pornografische TikTok-Version („TikTok 18+“) auf nachgemachten Play Store-Seiten. Perfide: Die App wirkt täuschend echt.

Das automatisierte Überweisungssystem (ATS) ist der Höhepunkt der Cyberkriminalität. Nach der Installation täuscht RatOn Nutzer, um umfassende Berechtigungen zu erhalten – besonders den Zugang zu Bedienungshilfen. Dann übernimmt die Malware komplett die Gerätekontrolle.

Das ATS kann Banking-Apps öffnen, gestohlene PINs eingeben, durch Menüs navigieren und betrügerische Überweisungen ausführen – alles ohne weitere Nutzerinteraktion. Zusätzlich protokolliert ein Keylogger alle Eingaben. Als Krönung kann RatOn Ransomware-ähnliche Sperrbildschirme aktivieren.

Krypto-Wallets im Visier

Neben traditionellen Banking-Apps visiert RatOn beliebte Kryptowährungs-Wallets an: MetaMask, Trust Wallet, Blockchain.com und Phantom. Nach einem Befehl vom Kontrollserver öffnet die Malware Wallet-Apps, entsperrt sie mit gestohlenen PINs und navigiert zu den Einstellungen.

Ziel: Die geheimen Wiederherstellungsphrasen. Mit diesen Phrasen übernehmen Angreifer vollständige Kontrolle über digitale Vermögenswerte der Opfer.

Das NFSkate-Modul nutzt „Ghost Tap“-Techniken für NFC-Relay-Angriffe. Die Malware missbraucht kontaktlose Bezahlfunktionen für betrügerische Einkäufe – ohne dass Angreifer physisch anwesend sein müssen. Diese Kombination aus automatischen Überweisungen, Krypto-Übernahmen und NFC-Betrug macht RatOn zum vielseitigsten Android-Banking-Trojaner aller Zeiten.

Anzeige: Passend zum Thema: Der Gratis?Guide erklärt, wie Sie Berechtigungen richtig setzen, Apps prüfen, NFC sicher konfigurieren und wichtige Updates automatisieren – genau die Hebel, die gegen Trojaner wie RatOn wirken. Kompakt, praxistauglich und ohne Fachchinesisch. Kostenlosen Sicherheits?Leitfaden für Android anfordern

Google flickt aktiv ausgenutzte Zero-Days

Googles September-2025-Update ist besonders kritisch: 120 Schwachstellen werden gepatcht. Darunter zwei schwerwiegende Zero-Day-Lücken – CVE-2025-38352 (Kernel) und CVE-2025-48543 (Android Runtime). Google bestätigte „begrenzte, gezielte Ausnutzung“ dieser Schwachstellen.

Noch brisanter: Samsung patchte eine separate kritische Zero-Day-Lücke (CVE-2025-21043) in seinem September-Update. Diese Out-of-Bounds-Write-Schwachstelle in einer Bildverarbeitungsbibliothek ermöglicht Remote-Code-Ausführung. Samsungs Warnung ist eindeutig: „Ein Exploit existierte bereits in freier Wildbahn.“

Die Lücke betrifft Android-Versionen 13 bis 16 auf Samsung-Geräten. Meta und WhatsApp meldeten sie am 13. August 2025 vertraulich.

Neue Ära autonomer Cyberkriminalität

RatOn spiegelt einen Paradigmenwechsel wider: Banking-Trojaner werden autonom. Während ältere Malware auf Overlay-Bildschirme angewiesen war, führen neue ATS-Varianten Betrug von A bis Z durch. Das reduziert Zeit und Aufwand für Angreifer drastisch.

Die Zero-Day-Lücken verdeutlichen den Dauerdruck im Android-Ökosystem. Besonders CVE-2025-21043 bereitet Sorgen: Schwachstellen in Medienverarbeitungsbibliotheken lassen sich oft durch Zero-Click-Angriffe ausnutzen – etwa beim Empfang speziell präparierter Bilder via Messenger.

Google führt ein neues „risikobasiertes Update-System“ (RBUS) ein. Kritische Bedrohungen werden priorisiert gepatcht, weniger schwere Probleme vierteljährlich abgearbeitet.

Sofortiger Schutz erforderlich

Android-Nutzer sollten unverzüglich die September-Sicherheitspatches installieren. Die Updates werden nach Herstellerplan verteilt. Gegen RatOn-Bedrohungen hilft: Nur Apps aus dem offiziellen Google Play Store herunterladen und bei umfassenden Berechtigungsanfragen – besonders Bedienungshilfen-Zugang – höchst skeptisch bleiben.

Sicherheitsforscher überwachen die RatOn-Kampagne weiter. Aktuell visiert die Malware eine tschechische Bank an, Expansion wird erwartet. Für Gerätehersteller läuft ein Wettlauf: Google Critical Patches müssen schnellstmöglich an alle Nutzer verteilt werden.

Die Botschaft ist klar: System-Updates ohne Verzögerung prüfen und installieren.