Neuer Android-Trojaner RatOn bringt automatische Überweisungen, Krypto-Klau & Fake-Ransomware. ThreatFabric deckt die Kampagne auf.
Bankraub per Fingertipp? Der neue Android-Trojaner RatOn zeigt, wie weit mobile Malware 2025 bereits ausgeprägt ist. Er hat sich zu einem vollwertigen Remote-Access-Trojaner mit Overlay-Betrug, automatisierten Überweisungen (ATS) und Krypto-Wallet-Hacks entwickelt. Die ersten Opfer sitzen in Tschechien und der Slowakei, doch die Methoden sind global anschlussfähig. RatOn ist damit mehr als nur ein weiterer Banking-Trojaner. Er ist ein Fraud-Toolkit, das klassischen Bankdiebstahl mit Krypto-Exfiltration und Erpressung kombiniert.
„Tap to pay ist sicher?“ – RatOn lacht. Der frisch dokumentierte Android-Trojaner kombiniert Overlay-Phishing, vollwertigen Remote-Zugriff, automatisierte Überweisungen und NFC-Relay-Angriffe in einer einzigen, modularen Malware. Entdeckt wurde die Kampagne durch Analysten von ThreatFabric MTI.
Einordnung: Warum Android-Trojaner RatOn anders ist
RatOn unterscheidet sich deutlich von den bisher bekannten Android-Banking-Trojanern. Während viele Schadprogramme sich auf Overlay-Phishing oder Keylogging beschränken, kombiniert RatOn mehrere besonders gefährliche Angriffstechniken in einem einzigen Werkzeugkasten. Es handelt sich nicht nur um einen klassischen Remote-Access-Trojaner, sondern gleichzeitig um ein Tool für NFC-Relay-Angriffe und ein vollwertiges Automated-Transfer-System (ATS). Diese seltene Kombination macht die Malware besonders mächtig und vielseitig.
Ein weiterer Punkt ist, dass RatOn von Grund auf neu entwickelt wurde. Die Analysten fanden keinerlei Code-Überschneidungen mit bestehenden Malware-Familien. Dadurch wird es für Sicherheitssysteme deutlich schwieriger, die Bedrohung über klassische Signaturerkennung zu identifizieren.
Auch die regionale Fokussierung macht RatOn auffällig. Erste Angriffe zielten vor allem auf Bankkunden in Tschechien und der Slowakei. Besonders die Banking-App George Česko der Česká spořitelna wurde für automatisierte Überweisungen missbraucht. Gleichzeitig richtet sich RatOn aber auch gegen globale Ziele, indem der Trojaner Krypto-Wallets wie MetaMask, Trust, Blockchain.com und Phantom angreift. Damit zeigt sich, was in Mitteleuropa getestet wird, kann sich schnell ausweiten.
Infektionsweg: TikTok-18+ als Köder
Die Kampagne nutzt erotisch getarnte Domains (u. a. „TikTok18+“) und Fake-Store-Seiten, die einen Dropper ausliefern. Nach der Sideloading-Freigabe installiert der Dropper eine zweite Stufe, fordert Accessibility und Device-Admin, holt sich weitere Rechte (Kontakte, Systemeinstellungen) und kann anschließend eine dritte Stufe nachladen: NFSkate/NGate für NFC-Relays.
Bereits 2024 hatte ESET mit NGate eine Android-Schadsoftware beschrieben, die den NFC-Datenverkehr von Zahlungskarten abfangen und in Echtzeit weiterleiten konnte. Auf diese Weise war es möglich, den Datenstrom einer Bankkarte an ein entferntes Terminal oder sogar an einen Geldautomaten „durchzuschleifen“, um damit unberechtigt Bargeld abzuheben oder Zahlungen auszuführen. RatOn knüpft als Android-Banking-Trojaner genau an dieser Technik an. Während NGate noch als eher spezielles Werkzeug mit begrenzter Reichweite galt, integriert RatOn die Weiterleitungsfunktion fest in seine Angriffskette. Damit wird der NFC-Angriff nicht länger als Experiment oder Einzelfall genutzt, sondern als strategisches Modul innerhalb einer umfassenden Betrugskampagne, die sich problemlos skalieren lässt.
Taktiken & Fähigkeiten im Überblick:
1) Overlay-Betrug & „Pseudoransomware“
RatOn ist in der Lage, über WebView-Overlays gefälschte Bildschirme einzublenden, die täuschend echt wirken. Dazu gehören unter anderem Erpressungsnachrichten in Tschechisch und Englisch, die den Nutzer in Panik versetzen sollen, etwa mit dem Hinweis, das Gerät sei gesperrt und könne nur durch eine sofortige Zahlung wieder freigeschaltet werden. Solche Fake-Ransomware-Bildschirme haben zwei Funktionen. Zum einen können sie Opfer direkt unter Druck setzen, Geld zu überweisen, zum anderen sie dazu bringen, eine bestimmte Krypto-Wallet-App zu öffnen, um die Zahlung einzuleiten. In diesem Moment greift die Malware unbemerkt den PIN-Code oder andere Zugangsdaten ab, die später für weitere Betrugsschritte genutzt werden.
2) Vollwertiger Remote-Zugriff
RatOn kann den Bildschirminhalt eines infizierten Geräts auf zwei Arten übertragen. Zum einen steht klassisches Screencasting zur Verfügung, bei dem das komplette Display als Video gestreamt wird. Noch gefährlicher ist jedoch die zweite Methode. Dabei erstellt die Malware eine textbasierte Pseudo-Screen-Ansicht, in der alle Bedienelemente der Oberfläche als Text beschrieben werden. Dadurch müssen keine grafischen Daten übertragen werden, was erheblich Bandbreite spart und eine schnellere Reaktionszeit ermöglicht. Für die Angreifer ist dadurch eine besonders latenzarme und effiziente Steuerung des Geräts möglich, perfekt geeignet für Live-Betrug über die Accessibility-Schnittstellen von Android.
3) ATS: Automatisierte Überweisungen
Die Malware startet die Ziel-Banking-App und führt den Überweisungsvorgang vollautomatisch aus. Dabei trägt RatOn Empfänger, IBAN und Betrag ein, prüft oder erhöht Transaktionslimits und tippt schließlich den zuvor abgegriffenen PIN zur Bestätigung ein. Um in der App zu navigieren, nutzt die Schadsoftware zwei Methoden, entweder per UI-Text oder Koordinaten. Bei ersterem erkennt sie die Beschriftungen der Schaltflächen, etwa „Neue Zahlung“ oder „Senden“ und klickt automatisch darauf. Ansonsten greift sie auf die zweite Technik zurück. In diesem Fall tippt RatOn direkt an vordefinierten Bildschirmpositionen, die fest im Code hinterlegt sind und einen Fingertipp auf die Stelle simulieren, an der sich der Button normalerweise befindet. Auf diese Weise funktioniert der Angriff auch dann, wenn sich die Oberfläche der App leicht verändert hat.
Explizit belegt ist dieses Vorgehen für die Banking-App George Česko der Česká spořitelna.
4) Krypto-Wallet-Takeover
RatOn richtet sich nicht nur gegen klassische Banking-Apps, sondern auch gezielt gegen bekannte Krypto-Wallets wie MetaMask, Trust Wallet, Blockchain.com und Phantom. Die Vorgehensweise ist dabei immer gleich. Zunächst öffnet die Malware die entsprechende App und entsperrt sie mit zuvor gestohlenen PIN-Codes oder Passwörtern. Anschließend navigiert RatOn automatisch zu den Sicherheitseinstellungen und blendet dort die Recovery-Phrases ein, mit denen sich die Wallet vollständig übernehmen lässt. Diese sensiblen Daten werden von einem integrierten Keylogger mitgeschrieben und direkt an die Angreifer übertragen. Damit haben diese alles in der Hand, um die Wallet auf einem eigenen Gerät einzurichten und die Kryptowährungen des Opfers zu stehlen. Unterstützt wird dieser Angriff nicht nur in Englisch, sondern auch in Russisch, Tschechisch und Slowakisch, was den internationalen Einsatz erheblich erleichtert.
Bewertung: Was macht RatOn strategisch gefährlich?
– Vielseitiger Betrug auf mehreren Ebenen:
RatOn vereint unterschiedliche Angriffstechniken in einem einzigen Framework. Einerseits ermöglicht die Malware lokale Raubzüge über automatisierte Überweisungen (ATS), die oft in Zusammenarbeit mit Mule-Netzwerken durchgeführt werden. Das Geld landet dabei meist nicht direkt auf einem Konto der Angreifer, sondern wird an sogenannte Money Mules überwiesen – Strohleute, die ihre Konten gegen Bezahlung zur Verfügung stellen oder selbst Teil des Netzwerks sind. Diese Mules heben das Geld anschließend ab oder leiten es weiter, sodass die eigentlichen Täter im Hintergrund bleiben.
Während klassische Banking-Trojaner noch auf eine manuelle Steuerung angewiesen sind, übernimmt RatOn diesen Prozess selbst. Mit Hilfe des ATS-Moduls lassen sich Überweisungen vollautomatisch abwickeln. Die Malware startet die Banking-App, trägt Empfänger und IBAN ein, prüft und passt Transaktionslimits an und tippt schließlich den zuvor abgegriffenen PIN-Code ein. All das geschieht im Hintergrund, ohne dass der Angreifer live eingreifen muss. Dadurch können Transaktionen selbst dann ausgeführt werden, wenn die Täter offline sind.
Andererseits sorgt die gezielte Attacke auf Krypto-Wallets dafür, dass Gelder weltweit abfließen können. Diese Kombination aus regionalem Bankbetrug und globalem Krypto-Diebstahl macht den Trojaner besonders effizient und skalierbar, weil kein menschlicher Operator jede einzelne Transaktion manuell durchführen muss.
– Steuerung in Echtzeit mit minimaler Verzögerung:
Die Malware nutzt nicht nur klassisches Screencasting, sondern auch eine textbasierte Darstellung der Benutzeroberfläche. Damit lassen sich die Aktionen auf dem infizierten Gerät extrem schnell nachvollziehen und steuern. Für die Angreifer entsteht so eine niedrige Latenz und eine halbautomatische Kontrolle, die Live-Betrug in Echtzeit erheblich erleichtert.
– Flexibles Baukastensystem:
Die Architektur von RatOn ist modular aufgebaut. Die Infektion startet mit einem Dropper, der weitere Schadmodule nachlädt. Anschließend kommt der Remote-Access-Trojaner selbst ins Spiel, der wiederum die Möglichkeit bietet, ein NFC-Relay-Modul einzubinden. Diese Struktur macht es leicht, die Malware an neue Regionen, Banking-Apps oder Betrugsszenarien anzupassen. Damit ist RatOn nicht nur ein aktuelles Risiko, sondern auch eine potenziell dauerhafte Bedrohung, die sich kontinuierlich weiterentwickeln kann.
Schutz & Gegenmaßnahmen
- Kein Sideloading:
Nutzer sollten Apps ausschließlich aus offiziellen Quellen wie dem Google Play Store oder dem Samsung Galaxy Store installieren. Die Installation von Anwendungen aus unbekannten Quellen sollte konsequent deaktiviert bleiben. Das reduziert das Risiko, versehentlich manipulierte Apps zu laden. (Quelle: Tom’s Guide)
- Vorsicht bei sensiblen Rechten:
Besonders heikel sind die Berechtigungen für Accessibility-Dienste und Geräte-Administratorrechte. Wenn ein vermeintlicher Installer diese Rechte einfordert, ist höchste Vorsicht geboten. Solche Anfragen sind ein typisches Warnsignal für Schadsoftware.
- Play Protect und Antivirus nutzen:
Das aktivierte Google Play Protect bietet eine Basiserkennung gegen bösartige Apps. Zusätzlich empfiehlt es sich, eine seriöse Android-Sicherheitslösung zu installieren, die verdächtige Aktivitäten schneller erkennt.
- Banking-Apps absichern:
Für Online-Banking gilt: Transaktionslimits setzen, Zwei-Faktor-Authentifizierung oder biometrische Verfahren mit separater Bestätigung nutzen, Push-Benachrichtigungen über jede Überweisung aktivieren und möglichst ein festes Gerät für das Banking verwenden, um Missbrauch auf Fremdgeräten zu verhindern.
- Krypto-Wallets schützen:
Die Seed-Phrase sollte niemals auf dem Smartphone selbst angezeigt oder gespeichert werden. Wer größere Beträge verwaltet, sollte über den Einsatz einer Hardware-Wallet nachdenken. Bei einem Verdacht auf Infektion gilt, Kryptowährungen sofort auf ein neues Wallet zu übertragen, das Gerät vollständig zurückzusetzen und sauber neu aufzusetzen.
- Erkennung in Unternehmen:
Organisationen können RatOn durch Mobile-EDR- oder MDM-Lösungen aufspüren. Verdächtige Anzeichen sind etwa Missbrauch der Accessibility-Schnittstellen, unerwartete WebView-Overlays, Screen-Capture-Events, ungewöhnliche NFC-Aktivitäten oder verdächtige Anfragen an Administratorrechte.
- Phishing-Pfade schließen:
Da RatOn häufig über erotische Fake-Seiten oder gefälschte App-Stores verteilt wird, helfen Blocklisten für typische Domains und ein DNS-Sinkhole für frisch registrierte Top-Level-Domains. So lassen sich viele Infektionsversuche bereits im Vorfeld abblocken.
Fazit: RatOn bringt den Bankraub aufs Smartphone
RatOn ist mehr als nur ein weiterer Android-Banking-Trojaner, er ist ein komplettes Fraud-Framework. Die Kombination aus RAT, ATS und NFC-Relay schafft dabei einen Werkzeugkasten, der On-Device-Betrug ebenso ermöglicht wie kontaktlose Diebestouren. Noch sieht man überwiegend CZ/SK-Ziele, doch die Technik ist universell einsetzbar. Wer Android produktiv nutzt, sollte Sideloading verbieten, High-Risk-Rechte blocken und technische Detektionen für Accessibility-Missbrauch, WebView-Overlays und Screencast-Anfragen implementieren.
