Der Android-Trojaner RatOn ist aufgrund der Kombination mehrerer Techniken, die auf Mobilgeräten selten zusammen verwendet werden, auf dem Radar der Cybersicherheit gelandet. Innerhalb weniger Wochen hat er sich von einem Tool, das sich auf NFC-Relaying konzentrierte, zu einem Remote-Access-Trojaner mit automatisierten Übertragungen, Overlays und Ransomware-ähnlichen Funktionen entwickelt – ein Umstand, der auf Mobilgeräten besonders besorgniserregend ist. Benutzer sind dadurch der Gefahr von Gelddiebstahl und dem Verlust der Kontrolle über ihr Gerät ausgesetzt., deshalb ist es bequem zu verwenden Apps zur Verbesserung der Sicherheit.
Laut von Experten veröffentlichten Analysen wurde RatOn von Grund auf neu entwickelt, ohne Code aus bekannten Familien zu übernehmen. Diese Eigenschaft erschwert seine anfängliche Erkennung und erklärt, warum ihm trotz seines jungen Alters bereits ein hohes Schadenspotenzial zugeschrieben wird. Die ersten deutlichen Anzeichen seiner Kampagne tauchten Anfang Juli 2025 auf, und Ende August desselben Jahres wurden neue Artefakte entdeckt, was bestätigt, dass die Angreifer ihre Fähigkeiten kontinuierlich verfeinern und Halten Sie das Projekt am Leben und entwickeln Sie es weiter.
Was ist der RatOn-Trojaner und warum ist er anders?
RatOn ist ein Android-Banking-Trojaner, der als RAT (Schadsoftware) fungiert und Angreifern die Fernsteuerung des Telefons des Opfers ermöglicht. Neuartig ist nicht nur die Steuerung selbst, sondern die Kombination fortschrittlicher Techniken in einem einzigen Paket: Bildschirm-Overlay-Angriffe, ein automatisiertes Übertragungssystem, NFC-Relaying, Gerätesperre zu Erpressungszwecken und Keylogging-Funktionen. All dies wird durch eine umfangreiche Befehlsliste orchestriert, die dem Schädling die Flexibilität verleiht, auf unterschiedliche Weise zu agieren. abhängig von den Zielen des Angreifers und der Umgebung des Opfers.
Analysten weisen darauf hin, dass keine signifikanten Code-Ähnlichkeiten mit anderen mobilen Banking-Trojanern gefunden wurden. Dies deutet auf eine Eigenentwicklung hin, die neben dem technischen Problem auch Auswirkungen auf die Erkennung hat, da Sicherheits-Engines können sich nicht auf vorherige Signaturen verlassen, um es einfach zu blockieren..
So wird es verbreitet: attraktive Köder und gefälschte Seiten
Die beobachtete Kampagne nutzte Domains, die das offizielle Shop-Erlebnis nachahmen und mit Inhalten für Erwachsene lockten. Die Hauptbehauptung ist eine angebliche App namens TikTok18+, die offenbar für Android entwickelt wurde und tschechisch- und slowakischsprachige Nutzer ansprechen soll. Nachdem das Opfer überzeugt wurde, forderten die gefälschten Seiten es auf, das Paket aus externen Quellen zu installieren, wodurch die Tür zur Infektionskette geöffnet wurde. und umgeht damit die üblichen Schutzmechanismen von Google.
Der Kanal, über den Benutzer auf diese Domänen gelangen, ist noch nicht vollständig geklärt. Man könnte aber an gängige Social-Engineering-Techniken wie irreführende Werbung, Nachrichten mit exklusiven Inhalten und Links auf fragwürdigen Websites denken. Der Schlüssel liegt darin, dass der weitere Prozess nach dem Download des Installationsprogramms für einen durchschnittlichen Benutzer deutlich schwieriger zu stoppen ist. weil Ihnen die angeforderten Aktionen möglicherweise normal erscheinen.
Infektionskette in Etappen: vom Dropper zur Advanced Payload
Die Infektion beginnt mit einem bösartigen Installationsprogramm, einem Dropper, der die Erlaubnis zur Installation von Anwendungen aus unbekannten Quellen anfordert. Dieser erste Schritt, der manchen harmlos erscheinen mag, ist tatsächlich der Auslöser, der es der eigentlichen Malware ermöglicht, auf dem Gerät zu landen. Der Prozess fordert dann kritische Berechtigungen: Bedienungshilfen, Administratorrechte, Lesen und Schreiben von Kontakten und die Möglichkeit, Systemeinstellungen zu verwalten. Mit diesen Berechtigungen kann der Angreifer frei agieren, Ändern Sie Einstellungen, erteilen Sie Ihren Modulen neue Berechtigungen und bleiben Sie persistent.
In einer zweiten Phase wird die Hauptnutzlast bereitgestellt, die Fernsteuerung und erweiterte Bankfunktionen ermöglicht. In einer dritten Phase wird eine spezielle NFC-Relay-Komponente namens NFSkate, auch bekannt als NGate, heruntergeladen. Dieses Modul basiert auf einem legitimen Forschungstool namens NFCGate, das in böswilligen Händen Zahlungsdaten aus der Ferne weiterleiten kann. Die entsprechende Technik, genannt Ghost Tap, wurde im August 2024 von ESET dokumentiert und von RatOn in sein Arsenal integriert. Erweitern Sie Ihre Reichweite über die einfache Erfassung von Anmeldeinformationen hinaus.
Wie NFC-Relay Betrug ermöglicht
Beim NFC-Relaying werden zwei Geräte eingesetzt, um ein Zahlungsterminal auszutricksen. Eines befindet sich in der Nähe des Opfers und erfasst die Daten der kontaktlosen Zahlungskarte. Das andere Gerät, das sich in der Nähe des Betrügers befindet, leitet diese Daten an ein POS-Terminal weiter, um die Transaktion abzuschließen. Der RatOn-Trojaner mit seinem speziellen Modul ermöglicht es einem infizierten Telefon, als Capturer zu fungieren. Der Angreifer kann die Informationen in Echtzeit empfangen und für Fernabbuchungen verwenden. In der Praxis bedeutet dies, dass das kompromittierte Telefon zum Einfallstor für den Betrug werden kann, ohne dass das Opfer es bemerkt. insbesondere wenn das Gerät entsperrt ist und NFC in kritischen Momenten aktiv ist.
Overlays, ATS und Übernahmen von Finanz-Apps
RatOn ist ein Meister der Overlay-Angriffe und platziert gefälschte Bildschirme über legitimen Anwendungen. Mit diesem Ansatz lässt sich die Benutzeroberfläche einer Banking- oder Zahlungs-App klonen, um PINs, Passwörter und Verifizierungscodes abzufangen. Dank des Barrierefreiheitsdienstes und der Administratorrechte kann die Malware mit Oberflächenelementen interagieren, Schaltflächen drücken, Vorgänge bestätigen und durch Menüs navigieren, als wäre sie der Benutzer. dem Opfer vorgaukeln, dass es sich in der echten App befindet.
Die ATS-Funktion (Automated Transfer System) zeichnet sich durch die Fähigkeit aus, Finanz-App-Abläufe zu erkennen und gestohlene Informationen für Geldtransfers einzugeben. Spezifische Automatisierungen wurden bei George Česko, einer beliebten Banking-App in der Tschechischen Republik, beobachtet, was einen Teil des geografischen Fokus der Kampagne erklärt. Diese Automatisierung reduziert den Zeitaufwand für die Kontoräumung und, in Kombination mit dem Diebstahl von Anmeldeinformationen, ermöglicht Operationen mit geringem Eingriff des Opfers.
Kontoübernahmen beschränken sich nicht nur auf traditionelle Bankgeschäfte. Der RatOn-Trojaner zielt auch auf beliebte Kryptowährungs-Wallets wie MetaMask, Trust Wallet, Blockchain dot com und Phantom ab. Sobald die Malware die PIN oder die Wiederherstellungsphrase erhält, kann sie die App öffnen, entsperren, zu den Sicherheitsbereichen navigieren und die geheimen Phrasen extrahieren, was den Diebstahl von Vermögenswerten ermöglicht. Diese Multi-Wallet- und Mehrsprachenfähigkeit deutet auf eine klare Absicht hin, in neue Märkte zu expandieren. Ausnutzung der eingeschränkten Rückverfolgbarkeit bestimmter Krypto-Assets.
Ransomware-Verhalten und psychologische Erpressung
Neben Diebstahl- und Kontrollfunktionen bietet RatOn Funktionen zum Sperren des Geräts und zum Anzeigen von Overlay-Seiten mit Lösegeldforderungen. In einigen Fällen beschuldigen die gefälschten Bildschirme das Opfer, illegales Material angesehen oder verbreitet zu haben, und fordern innerhalb von zwei Stunden die Zahlung von 200 US-Dollar in Kryptowährung, um den Zugriff wiederherzustellen. Neben der Bedrohung ist das eigentliche Ziel entscheidend: die Person dazu zu drängen, eine bestimmte Kryptowährungs-App zu öffnen und eine Überweisung durchzuführen. Anschließend zeichnet die Malware die PIN auf und erhält die Kontoschlüssel. So wird die Entführung durchgeführt, ohne dass das Opfer etwas davon ahnt.
Bei anderen Familien, wie etwa einer Variante des HOOK-Trojaners für Android, wurden Overlay-Bildschirme beobachtet, die an Ransomware erinnern. Dies bestärkt die Annahme, dass diese Techniken des psychologischen Drucks in der mobilen Cyberkriminalität zum Standard werden. RatOn nutzt denselben Ansatz, um schnell Geld zu verdienen und die Nutzer darüber zu verwirren, was tatsächlich auf ihrem Gerät passiert. die Erfolgschancen von Betrug zu vervielfachen.
Liste der beobachteten Befehle und wofür sie verwendet werden
Eine der Stärken des RatOn-Trojaners ist seine Liste an Remote-Befehlen, die die Fernsteuerung ermöglichen. Zu den identifizierten Befehlen gehören die folgenden, die seinen Umfang und seine Einsatzflexibilität veranschaulichen: von Identitätsdiebstahl bis zur Terminalblockierung:
- send_push: Sendet gefälschte Push-Benachrichtigungen an den Benutzer.
- screen_lock: Passt das Timeout des Sperrbildschirms an.
- WhatsApp: Startet die Anwendung, um mit Kommunikationsströmen zu interagieren oder sie auszuspionieren.
- app_inject: Ändert die Liste der Ziel-Finanz-Anwendungen für Overlays.
- Gerät aktualisieren: Sendet die Liste der installierten Apps und Gerätedaten.
- SMS senden: Senden Sie SMS über den Bedienungshilfedienst.
- Facebook: Öffnen Sie die App zu Betrugs- oder Datenerfassungszwecken.
- NFS: Laden Sie die NFSkate-APK für NFC-Streaming herunter und führen Sie sie aus.
- Transfer: Führen Sie ATS gegen Ströme wie den von George Česko aus.
- bloquear: Sperren Sie das Gerät mit Administratorrechten.
- Kontakt hinzufügen: Erstellt neue Kontakte im Adressbuch des Opfers.
- aufzeichnen: Starten Sie eine Streaming- oder Bildschirmaufzeichnungssitzung.
- Bildschirm: Aktiviert oder deaktiviert Screencasting auf Befehl des Angreifers.
Darüber hinaus weisen die Forscher auf Aktionen wie die Simulation eines Home-Button-Klicks, die Änderung der Zwischenablage oder die Echtzeit-Übertragung des Bildschirmstatus hin, die die Keylogging-Funktionen ergänzen. Mit diesem Repertoire kann der Angreifer komplette Betrugsketten ausführen, ohne Verdacht zu erregen. Automatisierung von Schritten, die bei anderen Trojanern manuelle Eingriffe erforderten.
Umfang, Chronologie und Akteure der Kampagne
Hinweise deuten darauf hin, dass die Aktivität vor allem Nutzer in Mitteleuropa betrifft, mit den größten Auswirkungen in der Tschechischen Republik und der Slowakei. Die ersten mit RatOn in Verbindung gebrachten Samples stammen vom 5. Juli 2025. Neue Samples wurden am 29. August 2025 identifiziert, was auf eine kontinuierliche Entwicklung hindeutet. Die technische Zuordnung deutet auf eine Gruppe namens NFSkate hin, die die schädlichen Anwendungen angeblich auf mehreren Domänen mit gezielten Ködern gehostet hat. auf bestimmte Zielgruppen ausgerichtet und mit lokalen Sprachen.
Berichte spezialisierter Unternehmen für mobile Sicherheit waren entscheidend für die Dokumentation der Entstehung von RatOn und beschreiben detailliert seinen modularen Charakter und seine Entwicklung vom NFC-Relay-Tool zum vollautomatischen Banking-Trojaner. Die Tatsache, dass RatOn von Grund auf neu entwickelt wurde, unterscheidet es von Klonen oder opportunistischen Varianten. die Komplexität seiner Untersuchung und Neutralisierung erhöhen.
Anzeigen und Warnhinweise für den Benutzer
Verschiedene Verhaltensweisen können auf die Existenz von RatOn oder einem ähnlichen Trojaner hindeuten. Beispielsweise wiederholte Anfragen zur Erteilung von Zugriffsberechtigungen, zum Lesen und Schreiben von Kontakten, zur Geräteverwaltung und zur Steuerung von Systemeinstellungen. Verdächtig sind auch Änderungen der Bildschirmsperrzeit ohne Benutzereingriff, das Erscheinen unerwarteter Push-Benachrichtigungen und die Einblendung von Bildschirmen, die nach vertraulichen Anmeldeinformationen fragen. insbesondere wenn sie in Banking- oder Kryptowährungs-Apps angezeigt werden.
Wenn Sie kürzlich installierte Apps außerhalb des offiziellen Stores entdecken oder Ihr Gerät Sie häufig auffordert, Apps aus unbekannten Quellen zu installieren, sollten Sie äußerst vorsichtig sein. Ein weiteres Warnsignal sind Seiten, die den Google Store imitieren und modifizierte Versionen beliebter Dienste mit Inhalten für Erwachsene versprechen. Dies sind gängige Vertriebskanäle dieser Kampagnen. die die Neugier ansprechen, um impulsive Entladungen zu erzwingen.
Was tun, wenn Sie eine Infektion auf Ihrem Telefon vermuten?
Wenn Sie eine Infektion vermuten, können Sie konkrete Maßnahmen ergreifen, um den Schaden zu begrenzen. Nachfolgend finden Sie ein grundlegendes Protokoll, das auf professionellen Empfehlungen basiert und Ihnen dabei helfen kann, die Kommunikation mit den Angreifern zu unterbrechen und die Kontrolle über Ihr Gerät zurückzuerlangen. Schützen Sie Ihre Konten und persönlichen Daten:
- Trennen Sie die Verbindung zum Internet: Deaktiviert mobile Daten und WLAN, um zu verhindern, dass Malware mit Ihrem Server kommuniziert.
- Reagieren Sie nicht auf verdächtige Nachrichten oder Aufforderungen- Vermeiden Sie das Klicken auf Links oder das Öffnen von APK-Anhängen.
- Entfernen Sie verdächtige Berechtigungen: Überprüfen Sie den Administrator- und Zugriffsberechtigungszugriff in den Einstellungen und widerrufen Sie ihn, ohne externe Anweisungen zu befolgen.
- Starten in den abgesicherten Modus: Dadurch wird verhindert, dass Apps von Drittanbietern beim Start ausgeführt werden.
- Scannen Sie mit einer seriösen Antimalware: Verwenden Sie Play Protect oder bekannte mobile Sicherheitslösungen.
- Deinstallieren Sie unbekannte oder neue Apps: über die Einstellungen im Abschnitt „Anwendungen“. Wenn das nicht funktioniert, suchen Sie professionelle Hilfe.
- Passwörter ändern und 2FA aktivieren: Tun Sie dies von einem anderen sauberen Gerät aus, beginnend mit E-Mail, Banking und Geldbörsen.
- Backup und Werksreset: Wenn die Anzeichen bestehen bleiben, bewerten Backup erstellen und setzen Sie das Terminal auf die Werkseinstellungen zurück.
- Wenden Sie sich an Ihre Bank: Sperren Sie Konten oder Karten, wenn Sie unregelmäßige Zugriffe oder nicht autorisierte Überweisungen feststellen.
- Fragen Sie nach professioneller Unterstützung: unerlässlich, wenn es sich um ein Firmentelefon handelt oder vertrauliche Informationen enthält.
Bewährte Verfahren zur Risikominderung
Vorbeugen ist besser als Heilen. In der mobilen Welt bedeutet das, vorsichtig zu sein, wo Sie Apps installieren und welche Berechtigungen Sie erteilen. Laden Sie Apps immer vorrangig aus offiziellen Stores wie Google Play herunter, seien Sie bei unbekannten Domains vorsichtig und vermeiden Sie Links, die spezielle Versionen beliebter Apps versprechen. Überlegen Sie vor der Annahme einer Berechtigung, ob sie für den Zweck der App sinnvoll ist, und vermeiden Sie unbedingt die Erteilung von Administratorrechten oder den Zugriff auf nicht verifizierte Tools. weil sie die bevorzugte Abkürzung für Trojaner sind, um Ihr Telefon zu übernehmen. Bedenken Sie auch verschlüsseln Sie Ihr Handy um eine weitere Schutzebene hinzuzufügen.
Wenn Sie ungewöhnliches Verhalten bemerken, handeln Sie schnell. Ein rechtzeitiges Zurücksetzen auf die Werkseinstellungen und ein sofortiger Anruf bei Ihrem Finanzinstitut können den Unterschied zwischen einem Schrecken und einem ernsthaften Problem ausmachen. Wenn Sie Geschäftsumgebungen verwalten, sollten Sie spezialisierte Cybersicherheitsdienste in Betracht ziehen, da sich diese Bedrohungen schnell weiterentwickeln und proaktive Abwehrmaßnahmen erfordern. Betrugsbekämpfungskontrollen und kontinuierliche Überwachung.
Kontext, Referenzen und andere damit verbundene Bedrohungen
Öffentliche Dokumentationen zum RatOn-Trojaner führen die Forschung auf Firmen für mobile Sicherheit zurück und beschreiben, dass die NFSkate-Gruppe die Artefakte auf Domains mit Ködern wie TikTok18+ gehostet haben soll. Es finden sich Verweise auf die von ESET im Jahr 2024 beschriebene Ghost-Tap-Technik und das Vorhandensein von Ransomware-ähnlichen Bildschirmen, die bereits in HOOK-Varianten zu sehen waren, was zur jüngsten Entwicklung des mobilen Betrugs passt. wo Overlays mit hochrangigen Automatisierungen kombiniert werden. Es hilft auch zu verstehen, warum Sicherheitspatches und Schwachstellenmanagement gegen diese Bedrohungen relevant sind, wie in Artikeln auf Sicherheitspatch.
Einige Artikel erwähnen weitere Aspekte der Bedrohungslandschaft, wie etwa Crocodilus, eine zunehmend verbreitete Banking-Malware, und Inhalte, die sich mit der Beobachtbarkeit von Bankdatenbanken im Rahmen der digitalen Transformation befassen. Obwohl diese nicht direkt Teil von RatOn sind, helfen sie zu erklären, warum der Finanzsektor ein vorrangiges Ziel darstellt und warum eine erweiterte Überwachung der Schlüssel zur Bekämpfung solcher Angriffe ist. insbesondere wenn der Feind die Kontrolle über das Gerät des Clients übernehmen kann.
Zusätzliche Hinweise in den Quellen
Es wurden Datumsangaben und Credits wie „Madrid 12. September Portaltic/EP“ sowie Erwähnungen von Fotoquellen wie „Mouse Resource“ auf Unsplash und „Frenjamin Benklin“ gefunden. Dies hat keinen Einfluss auf die technische Analyse, deutet aber darauf hin, dass die Geschichte in die Mainstream-Medien gelangt ist und dort breit berichtet wurde. eindeutiges Zeichen dafür, dass das Problem aufgrund seiner potenziellen Auswirkungen Anlass zur Sorge gibt.
Entwicklungsfähigkeit und zukünftige Risiken
Die schnelle Umstellung von RatOn von NFC-Relaying auf ATS und Overlays deutet darauf hin, dass die Akteure hinter dem Projekt die Funktionsweise der angegriffenen Apps perfekt beherrschen. Technische Kommentare deuten auf detaillierte Kenntnisse der Bank- und Kryptowährungsschnittstellen hin, einschließlich der Navigation zu Sicherheitsbereichen, um Seed-Phrasen zu exfiltrieren. Mit seiner eigenen Codebasis und modularen Architektur wäre es nicht verwunderlich, wenn bald neue Module oder Angriffsbereiche hinzukämen. einschließlich der Erweiterung der Zielsprachen und Banken.
Mehr Nutzer bedeuten mehr Anreize für Cyberkriminelle, innovativ zu sein. Und im mobilen Bereich, der Bankgeschäfte, Kommunikation und Zahlungen in der Nähe vereint, konzentriert sich ein Daten- und Transaktionsvolumen, das für Angreifer unüberwindbar ist. Deshalb ist es sowohl auf individueller als auch auf Unternehmensebene so wichtig, die Angriffsfläche durch Least-Trust-Praktiken und Benutzerschulungen zu stärken. Social Engineering zu unterbinden, bevor die Infektionskette beginnt.
Spezialisierte Dienstleistungen und Support
Im heutigen Ökosystem suchen viele Unternehmen Expertenunterstützung, um das operative Risiko durch Bedrohungen wie RatOn zu reduzieren. Es gibt Anbieter, die Bereitstellungen und proaktive Überwachung anbieten, oder sogar Apps wie Beute um Ihr Android zu stärken, um abnormales Verhalten zu erkennen, Geräte zu härten und Transaktionen zu schützen, sodass Sie Verluste minimieren und schnell reagieren können.
Zu den in einigen Artikeln erwähnten Unternehmen gehört E dea als Akteur, der Lösungen anbietet, ein Beispiel dafür, wie der Sektor auf diese Art von mobilen Trojanern reagiert hat und wie mehrschichtige Abwehrmechanismen artikuliert werden können.
Man sollte auch bedenken, dass der Fokus zwar oft auf Malware liegt, die Gefährdung jedoch eng mit den alltäglichen Gewohnheiten verknüpft ist. Einfache, aber wirksame Barrieren sind die Vermeidung von Installationen aus unbekannten Quellen, die Vermeidung von Behauptungen über nicht jugendfreie Inhalte oder angeblich verbesserte Versionen beliebter Apps sowie die Beachtung der Berechtigungen.
Lügen über den RatOn-Trojaner
Im selben Medienökosystem kursieren Nachrichten über Betrügereien und virale Phänomene, die keinen technischen Bezug zu RatOn haben, wie etwa der sogenannte Like-Betrug oder visuelle Kuriositäten von iOS-Schnittstellen, die zeigen, in welchem Ausmaß soziale Ansprüche den Verkehr dorthin lenken können, wo der Angreifer es will, und Impulsentladungen einspeisen.
RatOn hat gezeigt, dass das Mobiltelefon die perfekte Brücke zwischen Social Engineering, Diebstahl von Anmeldeinformationen, NFC-Weiterleitung und vollständiger Übertragungsautomatisierung sein kann. Hinzu kommen die Möglichkeit, das Gerät zu sperren und Ransomware einzusetzen. Die Mischung ist heikel. Es ist sinnvoll, die Sicherheitsgewohnheiten zu stärken, auf Berechtigungen und Installationsquellen zu achten und einen Reaktionsplan zu haben.
Durch eine Kombination aus Vorsicht des Benutzers, technischen Kontrollen und gegebenenfalls professioneller Unterstützung wird die Wahrscheinlichkeit, in die Falle zu tappen, verringert und die Reaktionsfähigkeit deutlich verbessert. Geben Sie die Informationen weiter, damit mehr Menschen über den RatOn-Trojaner Bescheid wissen und wissen, wie man ihn vermeiden kann..