Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Banking-Trojaner RatOn Android-Malware

RatOn Android-Malware

Von Favila in Banking-Trojaner, Mobile Malware
Übersetzen Sie in:

Eine neue Android-Malware namens RatOn hat sich schnell von einem einfachen Near Field Communication (NFC)-Relay-Tool zu einem hochentwickelten Remote Access Trojan (RAT) entwickelt. Mit seiner Automated Transfer System (ATS)-Funktionalität, Overlay-Angriffsmodulen und Ransomware-ähnlichen Funktionen entwickelt sich RatOn zu einer der vielseitigsten Bedrohungen für mobile Geräte.

Eine einzigartige Kombination von Angriffsvektoren

RatOn zeichnet sich dadurch aus, dass es mehrere bösartige Techniken in einem Framework vereint:

  • Overlay-Angriffe zum Diebstahl von Anmeldeinformationen.
  • Automatisierte Geldüberweisungen (ATS) zur Leerung von Bankkonten.
  • NFC-Relay-Funktionen über die Ghost-Tap-Technik.

Diese Kombination macht RatOn im Vergleich zu typischen Android-Banking-Trojanern hochgefährlich.

Ziele: Banking- und Krypto-Apps

Die Malware ist mit Funktionen zur Kontoübernahme ausgestattet, die speziell auf Kryptowährungs-Wallet-Apps wie MetaMask, Trust, Blockchain.com und Phantom abzielen. Sie nutzt auch George Česko, eine in der Tschechischen Republik beliebte Banking-App, um betrügerische Überweisungen zu automatisieren.

Neben finanziellem Diebstahl kann RatOn Geräte sperren und gefälschte Lösegeld-Screens einsetzen. Diese Overlays imitieren Erpressernachrichten, beschuldigen die Opfer, illegale Inhalte angesehen oder verbreitet zu haben, und fordern innerhalb von zwei Stunden eine Zahlung von 200 US-Dollar in Kryptowährung. Solche Zwangstaktiken setzen die Nutzer nicht nur unter Druck, sondern bieten Angreifern auch die Möglichkeit, PIN-Codes abzugreifen und Wallet-Apps direkt zu kompromittieren.

Aktive Entwicklung und Verbreitung von Taktiken

Das erste RatOn-Sample tauchte am 5. Juli 2025 auf. Weitere Versionen wurden erst am 29. August 2025 beobachtet, was auf eine laufende Entwicklung hindeutet. Die Verbreitung erfolgt über gefälschte Einträge im Google Play Store, die eine Erwachsenenversion von TikTok (TikTok 18+) vortäuschen. Diese Dropper-Apps installieren schädliche Payloads und fordern gleichzeitig Berechtigungen an, um die Barrierefreiheitsmaßnahmen von Google zu umgehen.

Nach der Installation erweitert RatOn die Berechtigungen, indem es Geräteadministrationsrechte, Zugriffsdienste sowie Zugriff auf Kontakte und Systemeinstellungen anfordert. Anschließend ruft es zusätzliche Malware-Komponenten ab, darunter die bereits dokumentierte NFSkate-Malware, die NFC-Relay-Angriffe ausführt.

Erweiterte Funktionen zur Kontoübernahme

RatOn zeigt ein tiefes Verständnis seiner Ziele. Sobald es aktiv ist, kann es:

  • Starten Sie Kryptowährungs-Apps und entsperren Sie sie mit gestohlenen PINs.
  • Interagieren Sie mit den Sicherheitseinstellungen in der App.
  • Extrahieren Sie geheime Wiederherstellungsphrasen.

Diese Daten werden über einen integrierten Keylogger protokolliert und an vom Angreifer kontrollierte Server gesendet, wodurch die volle Kontrolle über kompromittierte Krypto-Wallets ermöglicht wird. Bemerkenswerterweise weist die Codebasis von RatOn keine Überschneidungen mit anderen Android-Banking-Malware-Familien auf, was darauf hindeutet, dass die Malware von Grund auf neu entwickelt wurde.

Unterstützte Befehle und Operationen

RatOn unterstützt eine Vielzahl von Befehlen, mit denen Angreifer infizierte Geräte umfassend manipulieren können. Zu den wichtigsten gehören:

  • send_push – Liefern Sie gefälschte Push-Benachrichtigungen
  • app_inject – Ändern Sie die Liste der Ziel-Apps
  • Überweisung – ATS-Betrug über George Česko ausführen
  • nfs – NFSkate-Malware herunterladen und ausführen
  • screen_lock – Timeout für die Gerätesperre ändern
  • Sperren – Sperren Sie das Gerät aus der Ferne
  • Aufzeichnen/Anzeigen – Screencasting-Sitzungen steuern
  • send_sms – Senden Sie SMS-Nachrichten über Barrierefreiheitsdienste
  • add_contact – neue Kontakte erstellen
  • update_device – Gerätefingerabdrücke und Listen installierter Apps exfiltrieren

Regionaler Fokus und Strategie der Bedrohungsakteure

Forscher weisen darauf hin, dass sich die Aktivitäten von RatOn derzeit auf Tschechien konzentrieren; die Slowakei dürfte das nächste Ziel sein. Die Entscheidung, sich auf eine einzige regionale Bankanwendung zu konzentrieren, ist noch unklar. Automatisierte Überweisungen, die lokale Kontonummern erfordern, deuten jedoch auf eine Zusammenarbeit mit lokalen Geldkuriernetzwerken hin.

Im Trend

Am häufigsten gesehen

Wird geladen...