Eine neue Generation Android-Schadsoftware revolutioniert den Bankbetrug: Die als "RatOn" bezeichnete Malware stiehlt nicht nur Daten, sondern führt automatisiert betrügerische Überweisungen durch - direkt vom infizierten Smartphone aus. Cybersecurity-Experten warnen vor einer dramatischen Eskalation der Bedrohungslage.

Seit Juli 2025 verbreitet sich der hochentwickelte Trojaner rasant und entwickelt sich kontinuierlich weiter. Was zunächst als simpler NFC-Angriff begann, ist zu einem vollautomatischen Transfersystem (ATS) mutiert. Das Perfide: RatOn übernimmt Banking- und Kryptowährungs-Apps und transferiert Geld, ohne dass die Nutzer etwas bemerken.

Dreifach-Angriff auf deutsche Smartphone-Nutzer

Die Raffinesse von RatOn übersteigt alles bisher Bekannte. Der Trojaner kombiniert drei Angriffsmethoden: klassische Overlay-Attacken mit gefälschten Login-Masken, automatische Geldtransfers und NFC-Relay-Funktionen. Besonders im Visier stehen Kryptowährungs-Wallets wie MetaMask und Trust Wallet sowie Banking-Apps wie George Česko aus Tschechien.

Eine besonders perfide Taktik: RatOn zeigt Ransomware-ähnliche Sperrbildschirme mit Erpressungsnachrichten. Nutzer sollen aus Panik ihre Banking-Apps öffnen - genau dann schnappt die Falle zu und erfasst PINs sowie Zugangsdaten.

Diese Multi-Angriffs-Strategie ist kein Einzelfall. Im Sommer 2025 entdeckten Sicherheitsforscher den "PhantomCard"-Trojaner, der brasilianische Banking-Kunden über NFC-Attacken ausnimmt. Parallel dazu terrorisiert die "SpyBanker"-Kampagne in Indien Bankkunden durch Anrufweiterleitung und SMS-Abfang.

73 Prozent mehr Banking-Angriffe weltweit

Die RatOn-Welle ist Teil einer globalen Offensive: Laut Dr. Web explodierten Android-Banking-Trojaner im zweiten Quartal 2025 um 73,15 Prozent. Kaspersky bestätigt Banking-Trojaner als häufigste mobile Bedrohung, angeführt von der "Mamont"-Malware-Familie.

Bereits 2024 schnellten Android-Banking-Angriffe um 196 Prozent nach oben. Verantwortlich sind sogenannte Malware-as-a-Service-Plattformen (MaaS), die auch Laien hochentwickelte Angriffswerkzeuge zur Verfügung stellen. Organisierte Cyberkriminelle - oft aus China - demokratisieren so den digitalen Bankraub.

Virtualisierung und KI-Deepfakes: Die nächste Stufe

Die Angreifer rüsten technologisch massiv auf. Eine Weiterentwicklung des "GodFather"-Trojaners nutzt On-Device-Virtualisierung: Die Malware erschafft isolierte virtuelle Umgebungen auf dem Smartphone und kapert Banking-Apps in Echtzeit - weit raffinierter als simple Login-Masken.

Kann es noch schlimmer werden? Ja: KI-gestützte Deepfake-Attacken explodierten 2024 im asiatisch-pazifischen Raum um 1.530 Prozent. Die "GoldPickaxe"-Malware zielt speziell auf Gesichtserkennungssysteme in Thai- und Vietnam-Banking-Apps. Kombiniert mit Phishing und "Quishing" (QR-Code-Phishing) entsteht ein hochgefährliches Bedrohungsumfeld.

Banken unter Dauerbeschuss: Strategiewechsel nötig

Der Sprung von Datendiebstahl zu automatisierten Überweisungen stellt Banken vor neue Herausforderungen. Da Transaktionen vom vertrauenswürdigen Gerät des Nutzers ausgehen, umgehen sie traditionelle Sicherheitssysteme. Banken müssen auf verhaltensbasierte Analyse und On-Device-Bedrohungserkennung umstellen.

MaaS-Plattformen verwandeln Cyberkriminalität in ein Massenphänomen. Weniger versierte Angreifer können plötzlich hochsophistizierte Attacken fahren - mit globaler Reichweite. Für Finanzinstitute bedeutet das: mehr Angriffe, mehr Varianten, mehr Druck auf Betrugserkennungssysteme.

Ausblick: Wettrüsten zwischen Angreifern und Verteidigern

Experten rechnen mit noch autonomeren und invasiveren Angriffen. KI wird künftig nicht nur für Social Engineering eingesetzt, sondern um Sicherheitsmaßnahmen in Echtzeit zu überwinden. Das automatische Transfersystem von RatOn könnte Standard in Banking-Trojanern werden.

Bankkunden müssen sich auf verschärfte Sicherheitsmaßnahmen einstellen: erweiterte biometrische Verifikation und On-Device-Bedrohungsscans werden zur Norm. Die Devise bleibt: Apps nur aus offiziellen Stores laden, Berechtigungen kritisch prüfen und mobile Sicherheitslösungen nutzen. Das Wettrüsten um die digitale Geldbörse hat gerade erst begonnen.