Cyberkriminelle setzen auf eine gefährliche neue Strategie: Android-Schadsoftware leert gleichzeitig Bankkonten und sperrt Geräte für zusätzliche Lösegeldforderungen. Die Malware-Stämme „RatOn" und „Hook" markieren eine bedrohliche Entwicklung im Bereich mobiler Sicherheit – sie maximieren den Profit durch mehrgleisige Angriffe auf ahnungslose Nutzer weltweit.

Diese Verschmelzung von Banking-Trojanern und Ransomware stellt sowohl Privatpersonen als auch Finanzinstitute vor völlig neue Herausforderungen. Experten warnen vor einer neuen Ära mobiler Bedrohungen, in der Angreifer nicht mehr mit einer einzigen Betrugsmasche zufrieden sind.

RatOn automatisiert Diebstahl und blockiert Smartphones

Die Sicherheitsfirma ThreatFabric entdeckte kürzlich die Android-Malware RatOn, die sich rasant von einem simplen NFC-Relay-Tool zu einem vollwertigen Remote-Access-Trojaner entwickelt hat. Erstmals am 5. Juli 2025 in freier Wildbahn gesichtet, kursieren bereits aktualisierte Versionen vom 29. August 2025.

RatOn tarnt sich als erwachsenengerechte TikTok-Version und wird über gefälschte Google Play Store-Seiten verbreitet. Besonders Nutzer in Tschechien und der Slowakei stehen im Visier der Angreifer.

Das Herzstück der Malware bildet das Automated Transfer System (ATS), das Banking-Betrug vollautomatisch abwickelt. Der Trojaner startet gezielt die Banking-App George Česko, gibt gestohlene PINs ein und führt Überweisungen durch programmatische Klicks aus. Zusätzlich nimmt er beliebte Krypto-Wallets wie MetaMask, Trust und Blockchain.com ins Visier.

Besonders perfide: RatOn sperrt das Gerät zusätzlich durch Ransomware-ähnliche Overlay-Seiten und zeigt Erpressernachrichten an. Diese Doppelstrategie setzt Opfer unter enormen psychologischen Druck.

Anzeige: Passend zum Thema mobile Sicherheit – wussten Sie, dass wenige einfache Einstellungen Ihr Android bereits massiv besser schützen? Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen gegen Banking-Trojaner, Datenklau und Erpress-Overlays – leicht verständlich und ohne teure Zusatz-Apps. Mit Schritt-für-Schritt-Anleitungen sichern Sie WhatsApp, Online-Banking und PayPal in Minuten ab. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Hook-Malware erweitert Arsenal um Lösegeldforderungen

Parallel entwickelte sich eine neue Variante des berüchtigten Hook Android-Banking-Trojaners, die Forscher von Zimperiums zLabs Ende August 2025 identifizierten. Die aufgerüstete Version kombiniert bewährte Banking-Betrugsmaschen mit Ransomware-Overlays für direkte Erpressung.

Hook zeigt vollflächige Warnmeldungen samt Kryptowährungsadresse für Lösegeldzahlungen an – die Daten werden dynamisch von Kommando- und Kontrollservern abgerufen.

Der Trojaner, ein Ableger der ERMAC-Banking-Malware, unterstützt mittlerweile 107 Fernbefehle, davon 38 völlig neue Funktionen. Neben Ransomware-Fähigkeiten missbraucht Hook weiterhin Androids Accessibility Services für automatisierten Finanzbetrug und Datendiebstahl.

Neue Vertriebsstrategie: Die Angreifer nutzen verstärkt GitHub-Repositories zur APK-Verbreitung – ein taktischer Wechsel zur Umgehung herkömmlicher Erkennungsmethoden.

Verschmelzung der Bedrohungslandschaft

Die Entstehung von Malware wie RatOn und Hook verdeutlicht einen bedeutsamen Trend: Die Grenzen zwischen verschiedenen Angriffsarten verschwimmen. Durch die Integration von Ransomware-Taktiken in klassische Banking-Trojaner schaffen Angreifer mehrere Einnahmequellen aus einer einzigen Infektion.

Schlägt der automatisierte Finanzbetrug fehl oder bringt weniger Gewinn als erwartet, greift die Ransomware-Komponente als Backup-Erpressung. Diese mehrschichtige Herangehensweise macht die Schadsoftware widerstandsfähiger und profitabler für Cyberkriminelle.

Sicherheitsexperten sehen darin eine Reaktion auf verbesserte Schutzmaßnahmen im Bankensektor. Da großangelegte, unentdeckte Betrügereien schwieriger werden, setzen Angreifer auf psychologischen Druck durch Ransomware.

Düstere Zukunftsaussichten für mobile Sicherheit

Die kontinuierliche Weiterentwicklung hybrider Malware-Stämme wie RatOn und Hook deutet auf eine Zukunft mit zunehmend aggressiven und vielschichtigen mobilen Bedrohungen hin. Sicherheitsexperten erwarten eine baldige Ausweitung der Angriffe von regionalen Kampagnen auf globale Dimensionen.

Malware-as-a-Service-Modelle könnten diese kombinierten Bedrohungen schnell proliferieren lassen und sie weniger versierten Cyberkriminellen zugänglich machen.

Nutzer sollten äußerste Vorsicht walten lassen: Keine Downloads von inoffiziellen App-Stores und Misstrauen gegenüber unaufgeforderten SMS- oder Social-Media-Links. Multi-Faktor-Authentifizierung für alle Finanzkonten bietet entscheidenden Schutz gegen automatisierte Angriffe.

Anzeige: Für alle, die jetzt konkret handeln wollen: Der Gratis-Guide für Android erklärt, welche Prüfungen, Updates und App-Einstellungen wirklich zählen – inklusive Checklisten und praxistauglichen Sofortmaßnahmen. Ideal für Alltagsnutzer, die ihr Smartphone ohne Zusatzkosten deutlich sicherer machen möchten. Kostenlosen Ratgeber „5 Schutzmaßnahmen fürs Android‑Smartphone“ herunterladen

Für die Cybersicherheits-Community liegt die Herausforderung in der Entwicklung von Erkennungs- und Abwehrstrategien gegen sowohl Finanzdiebstahl als auch Gerätesperrung. Der Gesamttrend für 2025 zeigt einen starken Anstieg mobiler Bedrohungen – Banking-Trojaner bleiben dabei die dominierende Kraft.