Android-Malware missbraucht NFC-Technologie für Kartenbetrug
Sicherheitsexperten identifizieren Banking-Trojaner, der über NFC-Technologie Kartendaten direkt von physischen Karten stiehlt und in Echtzeit an Betrüger weiterleitet. Die Angriffe stiegen 2025 um das 35-fache.
Eine neue Generation von Android-Schadsoftware nutzt die NFC-Technologie von Smartphones, um Zahlungskartendaten zu stehlen und betrügerische Transaktionen durchzuführen. Diese Woche identifizierten Sicherheitsexperten einen Banking-Trojaner namens „RatOn“, der erstmals NFC-Weiterleitungsattacken mit Fernzugriff auf Geräte kombiniert. Die Malware verwandelt infizierte Handys in Werkzeuge für Kriminelle – eine bedeutende Weiterentwicklung der mobilen Betrugstaktiken.
Anders als herkömmliche Malware, die Daten bei Online-Transaktionen abfängt, nutzen diese neuen Varianten den eingebauten NFC-Reader des Smartphones, um Informationen direkt von physischen Kredit- und Debitkarten zu stehlen. Die gestohlenen Daten werden dann an Betrüger weitergeleitet, die damit an Geldautomaten oder Kartenterminals betrügerische Zahlungen ausführen können.
So funktioniert der NFC-Weiterleitungsangriff
Der Angriff beginnt mit Social Engineering: Opfer werden dazu verleitet, eine schädliche App zu installieren. Diese tarnt sich oft als Sicherheits-Update, Kartenschutz-Tool oder legitime Banking-Anwendung. Die Verteilung erfolgt über Phishing-Websites und betrügerische SMS oder WhatsApp-Nachrichten.
Besonders perfide: In einigen Kampagnen geben sich Betrüger als Bank-Mitarbeiter aus und führen Opfer telefonisch durch die Installation der Malware – angeblich zur Lösung eines Sicherheitsproblems.
Anzeige: Übrigens: Wer sich vor genau solchen Android-Bedrohungen schützen möchte, kann sein Smartphone in wenigen Minuten deutlich sicherer machen. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen – Schritt für Schritt, ohne teure Zusatz-Apps. Ideal für WhatsApp, Online‑Banking und kontaktloses Bezahlen. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Nach der Installation fordert die Apps den Nutzer auf, seine Zahlungskarte an die Rückseite des Handys zu halten – angeblich für eine Verifizierung. Tatsächlich erfasst die Malware über den NFC-Reader die Kartendaten und leitet sie sofort über das Internet an ein zweites Gerät des Betrügers weiter. Dieser befindet sich in der Nähe eines Zahlungsterminals oder Geldautomaten und kann mit den weitergeleiteten Daten kontaktlose Transaktionen durchführen.
Wachsendes Arsenal verschiedener Malware-Familien
Cybersicherheitsunternehmen haben mehrere Malware-Familien identifiziert, die diese NFC-Weiterleitungstechnik einsetzen. Oft werden sie als Malware-as-a-Service (MaaS) angeboten, was die Einstiegshürden für Kriminelle senkt.
SuperCard X, eine MaaS-Plattform chinesischsprachiger Akteure, wurde bei Kampagnen in Italien und Russland eingesetzt. Das System arbeitet mit zwei Apps: einer „Reader“-App beim Opfer und einer „Tapper“-App beim Angreifer.
Die Variante PhantomCard zielte auf Bankkunden in Brasilien ab und wird über gefälschte Google Play-Webseiten verbreitet. Nach der Installation fordert sie Nutzer auf, ihre Karte zu „verifizieren“ und leitet dabei die NFC-Daten an einen Angreifer-Server weiter.
NGate, entdeckt von ESET-Forschern, richtete sich gegen Kunden dreier tschechischer Banken. Die Malware kombiniert NFC-Datenweiterleitung für Geldautomaten-Abhebungen mit dem Diebstahl von Banking-Zugangsdaten als Rückfalloption.
Dramatischer Anstieg der Angriffszahlen
Die Bedrohungslage verschärft sich dramatisch: Laut ESET stiegen NFC-basierte Angriffe in der ersten Hälfte 2025 um mehr als das 35-fache im Vergleich zur zweiten Hälfte 2024. Diese Entwicklung verkompliziert die Sicherheitslage für Finanzinstitute erheblich, da sie nun mit Betrug konfrontiert sind, der physische und digitale Bereiche überbrückt.
Die Malware ist darauf ausgelegt, unentdeckt zu bleiben. Varianten wie SuperCard X weisen eine niedrige Erkennungsrate durch mobile Antivirenlösungen auf, da sie nur minimale Berechtigungen anfordern. Die Unmittelbarkeit der Transaktionen macht es für Banken schwieriger, den Betrug zu erkennen und rückgängig zu machen.
Anzeige: Apropos Schutzmaßnahmen: Viele Android‑Nutzer übersehen genau die Einstellungen, die solche Angriffe erschweren – etwa App‑Quellen, Berechtigungen und automatische Prüfungen. Der Gratis‑Ratgeber zeigt die 5 Maßnahmen, mit denen Sie Ihr Gerät spürbar härten und Datendiebe ausbremsen – leicht erklärt, sofort umsetzbar. Kostenlos downloaden: 5 Schutzmaßnahmen fürs Android‑Smartphone
Schutzmaßnahmen und Zukunftsaussichten
Experten rechnen mit einer weiteren Verbreitung dieser NFC-Weiterleitungsangriffe, da die zugrundeliegenden Malware-Plattformen weiterentwickelt und in Untergrundforen verkauft werden. Die wachsende weltweite Abhängigkeit von kontaktlosen Zahlungen bietet einen fruchtbaren Boden für solche Angriffe.
Sicherheitsexperten empfehlen einen mehrschichtigen Schutzansatz. Nutzer sollten äußerst vorsichtig bei unaufgeforderten Nachrichten sein, die zum Download von Apps oder Anruf von Support-Nummern auffordern. Apps sollten ausschließlich über den offiziellen Google Play Store installiert werden.
Zusätzlichen Schutz bietet die Deaktivierung der NFC-Funktion, wenn sie nicht benötigt wird. Finanzinstitute arbeiten derweil an verbesserten Betrugserkennung-Mechanismen, um diese sofortigen, weiterleitungsbasierten Transaktionen zu identifizieren und zu blockieren. Nutzer sollten regelmäßig ihre Kontoauszüge auf verdächtige Aktivitäten überprüfen.
