RatOn-Trojaner: Neue Bedrohung für Banking-Apps und Krypto-Wallets

Ein hochentwickelter Android-Banktrojaner namens „RatOn“ greift derzeit gezielt mobile Nutzer an und kombiniert dabei verschiedene Angriffstechniken zu einem besonders gefährlichen Paket. Die Schadsoftware kann nicht nur Bankgeschäfte automatisch ausführen, sondern auch Kryptowährungskonten übernehmen.

Erstmals am 5. Juli 2025 entdeckt, hat sich die Malware rasant weiterentwickelt. Die jüngste Version stammt vom 29. August 2025, wie das Sicherheitsunternehmen ThreatFabric berichtet. Was RatOn so gefährlich macht: Der Trojaner verbindet Overlay-Angriffe, automatisierte Geldtransfers und NFC-Relay-Attacken miteinander.

Von der NFC-Attacke zum vollwertigen Trojaner

Ursprünglich als Werkzeug für NFC-Relay-Angriffe entwickelt, ist RatOn inzwischen zu einem ausgewachsenen Remote-Access-Trojaner (RAT) mit automatisiertem Überweisungssystem geworden. Damit können Angreifer betrügerische Transaktionen direkt vom Gerät des Opfers ausführen – ohne dass dieses etwas bemerkt.

Die Verteilung erfolgt über gefälschte Google Play Store-Seiten. Die Kriminellen locken Nutzer mit Apps, die sich als Erwachsenenversion von TikTok („TikTok 18+“) ausgeben. Hauptziel der Kampagne sind bisher Nutzer in Tschechien und der Slowakei.

Mehrstufiger Angriff umgeht Android-Sicherheit

Der Infektionsprozess läuft in mehreren Stufen ab und ist darauf ausgelegt, Androids Sicherheitsmechanismen zu umgehen. Nach dem Download der Initial-App fordert diese zunächst Berechtigungen zur Installation von Drittanbieter-Anwendungen an – ein kritischer Schritt, um die Sicherheitsbarrieren zu durchbrechen.

Sind die ersten Berechtigungen erteilt, lädt eine zweite Stufe weitere Rechte für Geräteverwaltung und Bedienungshilfen nach. Diese erweiterten Privilegien geben der Malware umfassende Kontrolle über das infizierte Gerät: Kontakte lesen, Systemeinstellungen verwalten und sich selbst weitere Berechtigungen erteilen.

Die finale Stufe lädt eine Drittanbieter-Malware namens NFSkate, eine Variante eines eigentlich legitimen Forschungstools. Diese ermöglicht NFC-Relay-Angriffe durch eine Technik namens „Ghost Tap“.

Anzeige: Apropos Android-Sicherheit: Viele Nutzer übersehen genau die Berechtigungen, die Banking?Trojaner wie „RatOn“ ausnutzen. Ein kostenloser Ratgeber erklärt Schritt für Schritt die 5 wichtigsten Schutzmaßnahmen – ohne teure Zusatz?Apps – und zeigt, wie Sie WhatsApp, Online?Banking, PayPal und Shopping zuverlässig absichern. Gratis?Sicherheitspaket jetzt anfordern

Speziell auf Banking-Apps und Krypto-Wallets programmiert

RatOn zeigt eine beunruhigende Spezialisierung auf konkrete Ziele. Das automatisierte Überweisungssystem ist explizit darauf programmiert, die tschechische Banking-App „George ?esko“ zu missbrauchen. Das zeigt tiefgreifende Kenntnisse der Angreifer über die interne Funktionsweise der Anwendung.

Besonders gefährlich wird es für Kryptowährungsnutzer. Die Malware kann beliebte Wallets wie MetaMask, Trust Wallet, Blockchain.com und Phantom kapern. Nach einem entsprechenden Befehl startet RatOn die Wallet-App, entsperrt sie mit der gestohlenen PIN, navigiert zu den Sicherheitseinstellungen und extrahiert die Zugangsdaten.

Zusätzlich kann die Schadsoftware Ransomware-ähnliche Bildschirme anzeigen, die fälschlicherweise behaupten, das Gerät sei gesperrt und verlangen Geld für die Freischaltung.

Mobile Bedrohungen nehmen drastisch zu

RatOn fügt sich in einen besorgniserregenden Trend ein: Android-Malware stieg im ersten Halbjahr 2025 um 151 Prozent. SMS-basierte Angriffe (Smishing) explodierten in nur zwei Monaten um 692 Prozent. Die Zahl der Nutzer, die auf mobile Banking-Trojaner stießen, vervierfachte sich 2024 gegenüber dem Vorjahr.

Diese Zahlen verdeutlichen eine strategische Verlagerung der Cyberkriminellen: Mobile Geräte werden zum Hauptziel für Finanzbetrügereien.

Schutzmaßnahmen werden essentiell

Experten warnen, dass RatOn aktiv weiterentwickelt wird. Während sich die Malware momentan auf bestimmte Regionen und Apps konzentriert, könnte das zugrundeliegende Framework leicht für weltweite Angriffe adaptiert werden.

Nutzer sollten ausschließlich Apps aus dem offiziellen Google Play Store herunterladen und besonders misstrauisch werden, wenn eine App Berechtigungen zur Installation weiterer Anwendungen fordert. Bedienungshilfen-Zugriff sollte nur vertrauenswürdigen und verifizierten Entwicklern gewährt werden.

Anzeige: Für alle, die Banking?Apps und Krypto?Wallets auf dem Smartphone nutzen: Dieser Gratis?Guide liefert Checklisten für sofort mehr Schutz. Lernen Sie, gefälschte Apps zu erkennen, riskante Berechtigungen zu stoppen und die wichtigsten Sicherheits?Einstellungen richtig zu setzen. Jetzt kostenloses Android?Sicherheitspaket sichern