Ein hochentwickelter Android-Banking-Trojaner namens "RatOn" bereitet Sicherheitsexperten Sorgen. Die Schadsoftware vereint erstmals drei gefährliche Angriffstechniken in einem System: vollständige Fernsteuerung des Smartphones, automatisierte Überweisungen und kontaktlosen Kartenbetrug über NFC-Technologie.

Cybersecurity-Forscher entdeckten den Trojaner im Juli 2025, aktuellste Entwicklungen datieren vom 29. August. Zunächst visiert RatOn Banking- und Kryptowährungs-Apps in Tschechien und der Slowakei an – eine Ausweitung auf andere Regionen gilt als wahrscheinlich.

Perfide Verbreitung über Adult-Websites

Die Angreifer nutzen Social Engineering: Opfer landen auf Erotik-Websites, die gefälschte Apps anbieten – oft als "Erwachsenen-Version" bekannter Plattformen wie TikTok getarnt. Wer die App herunterlädt, startet einen mehrstufigen Infektionsprozess.

Die erste Dropper-App installiert über eine WebView-Schnittstelle eine zweite Schadsoftware. Diese fordert aggressive Berechtigungen, darunter den mächtigen "Accessibility Service" und Administratorrechte. Mit diesem Zugang kann RatOn unbemerkt weitere Berechtigungen erteilen und Bildschirmaktivitäten überwachen.

Anzeige: Wer sich vor Banking-Trojanern wie „RatOn“ schützen möchte, sollte jetzt die wichtigsten Android-Sicherheitshebel prüfen. Diese 5 praxisnahen Maßnahmen schließen typische Einfallstore – ohne teure Zusatz-Apps. Der kostenlose Ratgeber führt Sie Schritt für Schritt durch sichere Einstellungen für Apps, Berechtigungen, WhatsApp, Online-Banking & Co. Jetzt das kostenlose Android-Sicherheitspaket laden

Automatische Überweisungen ohne menschlichen Eingriff

Das Herzstück von RatOn ist das Automated Transfer System (ATS). Die Forscher von ThreatFabric stellten fest: Das System versteht die Banking-App "George Česko" perfekt. Auf Befehl der Kontrollserver startet RatOn die echte Banking-App, gibt zuvor abgefangene PINs ein und führt Überweisungen auf Scheinnkonten aus.

Diese Automatisierung macht den Betrug skalierbar – menschliche Operateure müssen nicht mehr jede Transaktion manuell steuern. Parallel ermöglicht die Fernsteuerungs-Funktion Keylogging, Bildschirmüberwachung und Datendiebstahl.

"Ghost Tap": Kartenbetrug aus der Ferne

Besonders raffiniert: RatOn integriert die NFSkate-Malware für NFC-Relay-Angriffe. Bei diesem "Ghost Tap" genannten Verfahren fängt das infizierte Smartphone NFC-Daten der Bankkarte ab und überträgt sie in Echtzeit an ein zweites Gerät.

Ein Komplize kann mit diesem Gerät vor Ort an Kartenterminals oder Geldautomaten bezahlen – als hätte er die echte Karte in der Hand. Diese Verbindung von Fernsteuerung und realem Kartenbetrug markiert eine neue Entwicklungsstufe bei Android-Banking-Trojanern.

Bedrohung für Krypto-Wallets

RatOn beschränkt sich nicht auf traditionelle Banking-Apps. Das System attackiert auch beliebte Kryptowährungs-Wallets wie MetaMask, Trust Wallet und Phantom, um PINs und Recovery-Phrasen zu stehlen.

Die Schadsoftware wurde offenbar komplett neu programmiert – ein Indiz für erfahrene und gut ausgestattete Angreifer. Das modulare Design ermöglicht einfache Updates und neue Ziele.

Schutz vor der neuen Bedrohung

Sicherheitsexperten warnen vor einer baldigen globalen Ausbreitung. Nutzer sollten Installation von Apps unbekannter Quellen deaktivieren und Anwendungen misstrauen, die Accessibility-Zugriff fordern.

Anzeige: Übrigens: Mit wenigen gezielten Einstellungen bei Android – von App-Quellen über Berechtigungen bis NFC – senken Sie Ihr Risiko spürbar. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen mit verständlichen Schritt-für-Schritt-Anleitungen und Checklisten. Kostenlosen Ratgeber anfordern

Finanzinstitute verstärken bereits ihre Betrugs-Erkennungssysteme. Die Kombination aus technischer Innovation der Angreifer und notwendiger Nutzer-Wachsamkeit wird zum entscheidenden Faktor im Kampf gegen mobile Banking-Bedrohungen.