RatOn-Trojaner: Neuer Android-Schädling plündert Banking-Apps automatisch

Ein hochentwickelter Android-Trojaner namens „RatOn“ greift Finanz-Apps und Krypto-Wallets mit einer gefährlichen Kombination aus NFC-Relay-Attacken und automatisierten Überweisungen an. Sicherheitsforscher warnen vor einer neuen Dimension mobiler Banking-Bedrohungen.

Der erstmals am 5. Juli 2025 entdeckte Schädling entwickelt sich rasant weiter – die jüngste Version stammt vom 29. August. Was als einfaches Tool begann, ist heute ein vollwertiger Remote-Access-Trojaner, der komplexe Finanzbetrügereien ohne Wissen der Opfer ausführt.

Laut dem niederländischen Sicherheitsunternehmen ThreatFabric verbreitet sich RatOn über gefälschte Google Play Store-Seiten. Die Malware tarnt sich als Erwachsenen-Version von TikTok und zielt hauptsächlich auf Nutzer in Tschechien und der Slowakei ab.

Vollautomatische Banking-Angriffe

RatOn verfügt über ein Automated Transfer System, das speziell die tschechische Banking-App „George ?esko“ ins Visier nimmt. Der Trojaner startet die App eigenständig, navigiert durch die Benutzeroberfläche und trägt automatisch Empfängerdaten für Überweisungen ein.

Besonders perfide: Die Malware nutzt gestohlene PINs zur Autorisierung und kann sogar Überweisungslimits prüfen und anpassen, um maximale Beträge abzuzweigen. Krypto-Wallets wie MetaMask, Trust Wallet oder Blockchain.com sind ebenfalls im Visier – hier stiehlt RatOn die geheimen Wiederherstellungsphrasen und übernimmt vollständige Kontrolle über die Digital-Assets.

NFC-Relay und Ransomware-Erpressung

Eine besonders alarmierende Funktion ist die NFC-Relay-Attacke durch die Zusatz-Malware „NFSkate“. Das infizierte Smartphone wird zum Relais, das NFC-Zahlungsdaten vom Opfer-Handy an ein vom Angreifer kontrolliertes Gerät weiterleitet. So können Betrüger an Kassensystemen oder Geldautomaten fraudulöse Transaktionen durchführen – sogenannte „Ghost-Tap-Angriffe“.

Zusätzlich setzt RatOn auf Ransomware-Taktiken: Der Trojaner zeigt Fake-Sperrbildschirme, die behaupten, das Handy sei wegen illegaler Aktivitäten gesperrt. Für die „Freischaltung“ werden 200 Dollar in Kryptowährung verlangt. Sicherheitsexperten vermuten dahinter den Trick, Nutzer dazu zu bringen, ihre Krypto-Apps zu öffnen und dabei die PIN preiszugeben.

Neue Bedrohung ohne bekannte Vorbilder

RatOn wurde komplett neu entwickelt – ohne Code-Ähnlichkeiten zu bekannten Malware-Familien. Das deutet auf einen neuen, kompetenten Akteur in der mobilen Banking-Betrugsszene hin.

„Die automatisierten Überweisungsfunktionen zeigen, dass der Angreifer die Ziel-Apps sehr genau kennt“, so die ThreatFabric-Forscher. Obwohl RatOn bisher hauptsächlich in Tschechien aktiv ist, warnen Experten: Die mehrsprachige Unterstützung für Englisch, Russisch, Tschechisch und Slowakisch deutet auf internationale Expansionspläne hin.

Anzeige: Übrigens: Wer sein Android?Smartphone gezielt gegen Banking?Trojaner, Datenklau und gefälschte Apps absichern will, findet eine praxisnahe Hilfe. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen – ohne teure Zusatz?Apps, mit klaren Schritt?für?Schritt?Anleitungen für WhatsApp, Online?Banking, PayPal & Co. Bringen Sie Ihr Gerät in wenigen Minuten auf Sicherheitskurs. Jetzt das kostenlose Android?Sicherheitspaket sichern

Nutzer sollten Apps nur aus offiziellen Quellen laden und bei extensiven Berechtigungsanfragen – besonders für Bedienungshilfen – skeptisch werden. Banken müssen ihre Betrugserkennungssysteme verstärken und anomales Verhalten automatisierter Transaktionen identifizieren können.