Eine hochentwickelte Android-Schadsoftware namens "RatOn" greift gezielt Nutzer in Europa an und kombiniert dabei gefährliche Funktionen, die bislang nie in einem einzigen Schadprogramm vereint waren. Die Malware kann Überweisungen automatisiert ausführen und Kontaktlos-Zahlungen über manipulierte NFC-Verbindungen abwickeln.

Erstmals im Juli 2025 entdeckt, hat sich RatOn zu einer ernsthaften Bedrohung für Bankkonten und Kryptowährungswaffen entwickelt. Das Sicherheitsunternehmen ThreatFabric warnt: Die Schadsoftware kann Konten leerräumen, ohne dass Nutzer dies sofort bemerken.

Gefälschte TikTok-App als Lockmittel

Die Cyberkriminellen verbreiten ihre Schadsoftware über gefälschte Google Play Store-Seiten. Als Köder dient eine vorgeblich erwachsenengerechte Version von TikTok, die als "TikTok 18+" beworben wird. Besonders betroffen sind bislang Nutzer in Tschechien und der Slowakei.

Anzeige: Übrigens: Wer sein Android-Smartphone gezielt gegen solche Maschen absichern möchte, sollte die wichtigsten Basis-Schritte kennen. Viele übersehen 5 einfache, wirkungsvolle Schutzmaßnahmen – ganz ohne teure Zusatz-Apps. Ein kostenloser Ratgeber führt Schritt für Schritt durch sichere Einstellungen, App-Prüfungen und Updates für WhatsApp, Online-Banking & Co. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Was RatOn von anderen Banking-Trojanern unterscheidet: Die Malware wurde komplett neu programmiert und teilt keine Code-Ähnlichkeiten mit bekannten Android-Schädlingen. Ihr Hauptangriffspunkt sind Androids Bedienungshilfen, über die sie weitreichende Berechtigungen erlangt.

Automatisierte Betrugs-Maschinerie im Einsatz

Besonders alarmierend ist das sogenannte Automated Transfer System (ATS) von RatOn. Dieses System navigiert eigenständig durch Banking-Apps und löst Überweisungen aus – ganz ohne Zutun der Angreifer. Zusätzlich nutzt die Malware klassische Overlay-Angriffe: Gefälschte Anmeldebildschirme werden über echte Banking-Apps gelegt, um Zugangsdaten abzufangen.

Ein weiterer Baustein namens "NFSkate" ermöglicht sogenannte "Ghost Tap"-Angriffe. Dabei werden NFC-Daten vom Opfergerät an das Smartphone der Betrüger weitergeleitet – kontaktlose Zahlungen werden so ohne Wissen des Nutzers ausgeführt.

Krypto-Wallets im Visier

RatOn beschränkt sich nicht auf traditionelle Bankkonten. Die Schadsoftware zielt gezielt auf beliebte Kryptowährungsgeldbörsen wie MetaMask, Trust Wallet und Blockchain.com ab. Nach einem Befehl der Kontrollserver öffnet die Malware die entsprechende Wallet-App, entsperrt sie mit der gestohlenen PIN und navigiert zur Anzeige der geheimen Wiederherstellungsphrasen.

Diese sensiblen Daten werden von einer Keylogger-Komponente erfasst und an die Angreifer übertragen. In manchen Fällen setzt RatOn auch erpresserische Taktiken ein: Das Gerät wird gesperrt und eine gefälschte Warnung wegen angeblich illegaler Inhalte angezeigt – um Nutzer zur Eingabe ihrer Krypto-PINs zu bewegen.

Warnung vor europäischer Ausbreitung

Cybersicherheitsexperten befürchten eine baldige Ausweitung der Angriffe auf Deutschland und andere europäische Länder. Die Schadsoftware befindet sich in aktiver Entwicklung – noch Ende August 2025 entdeckten Forscher neue Versionen.

Anzeige: Passend zur aktuellen Warnlage in Europa: Schützen Sie Banking- und Krypto-Apps systematisch, bevor Angreifer zuschlagen. Der Gratis-Guide zeigt, wie Sie Berechtigungen prüfen, Betrugs-Overlays erkennen und NFC-Risiken minimieren – kompakt erklärt und leicht umzusetzen. Hier kostenlos sichern: 5 Schutzmaßnahmen für Ihr Android

Nutzer sollten Apps ausschließlich über den offiziellen Google Play Store herunterladen und bei Anwendungen, die extensive Berechtigungen fordern, äußerst vorsichtig sein. Besondere Skepsis ist bei Apps geboten, die Zugriff auf Androids Bedienungshilfen verlangen.