Android-Malware: NFC-Betrug räumt Konten leer
Eine großangelegte Cyberkampagne nutzt Android-NFC-Technologie, um beim kontaktlosen Bezahlen Kartendaten abzugreifen. Über 760 bösartige Apps wurden bereits identifiziert, die weltweit operieren.
Eine massive Cyberkampagne nutzt die NFC-Technologie von Android-Smartphones, um Zahlungsdaten direkt beim kontaktlosen Bezahlen abzufangen. Sicherheitsexperten haben ein Netzwerk von über 760 bösartigen Apps entdeckt, die das Tap-to-Pay-System gezielt ausnutzen – ein beunruhigender Sprung in der mobilen Finanzkriminalität.
Die seit April 2024 rasant wachsende Kampagne hat sich zu einer weltweiten Operation entwickelt. Besonders Nutzer in Osteuropa und Südamerika geraten ins Visier der Banking-Trojaner, die unbemerkt auf infizierten Geräten operieren.
Wie der “Tap-and-Steal”-Angriff funktioniert
Das Herzstück dieser Bedrohung liegt in der geschickten Manipulation von Androids Host-based Card Emulation (HCE). Diese Funktion ermöglicht normalerweise das legitime kontaktlose Bezahlen.
Der Angriff startet, wenn Nutzer eine schädliche App aus inoffiziellen Quellen installieren. Die Malware tarnt sich oft als nützliche Tools – QR-Code-Scanner, Akku-Optimierer oder Krypto-Apps. Nach der Installation fordert sie den Nutzer auf, sie als Standard-NFC-Zahlungsapp festzulegen.
Sobald diese Berechtigung erteilt ist, wartet die Malware ab. Wird das entsperrte Telefon an ein Zahlungsterminal gehalten, fängt die schädliche App die NFC-Kommunikation ab. Sie stiehlt sensible Daten wie Kartennummer, Ablaufdatum und EMV-Felder und leitet diese sofort an ein zweites Gerät der Angreifer weiter.
Das perfide Ergebnis: Kriminelle können zeitgleich an einem anderen Standort betrügerische Transaktionen mit den gestohlenen Kartendaten durchführen. Das Smartphone wird praktisch zu einem ferngesteuerten Kartenleser umfunktioniert.
Organisiertes Verbrechen mit globaler Reichweite
Der Umfang dieser Operation zeigt ein gut organisiertes, schnell wachsendes Verbrechernetzwerk. Zimperiums zLabs verfolgen die Kampagne seit April 2024 und beobachten ihre Entwicklung von wenigen isolierten Samples zu über 760 verschiedenen schädlichen Apps.
Die Infrastruktur ist beeindruckend: Mehr als 70 Command-and-Control-Server steuern die Malware, während dutzende Telegram-Bots und private Kanäle die gestohlenen Finanzdaten weiterleiten.
Hauptziele sind Nutzer in Russland, Polen, Tschechien und der Slowakei. Auch Brasilien steht im Fokus der Angreifer. Die Apps imitieren rund 20 vertrauenswürdige Institutionen, darunter VTB Bank, Tinkoff Bank, Santander, PKO Bank Polski und Bradesco sowie Google Pay und Russlands Gosuslugi-Portal.
Tarnung als vertrauenswürdige Apps
Der Erfolg dieser Malware basiert auf Social Engineering. Durch die Verbreitung außerhalb des Google Play Stores umgehen Angreifer Sicherheitskontrollen. Die Apps werden als unverzichtbare Tools oder Updates präsentiert, um Nutzer zur Erteilung gefährlicher Berechtigungen zu verleiten.
Raffinierte Verschleierungstechniken helfen dabei, Sicherheitssoftware zu umgehen. Code-Verschleierung und Software-Packer verbergen die schädlichen Funktionen vor statischen Analysewerkzeugen.
Einige Malware-Varianten nutzen einen zweigleisigen Ansatz: Eine App scannt Kartendaten, eine andere kommuniziert mit Kassensystemen für unauthorisierte Käufe. Andere Versionen konzentrieren sich ausschließlich auf das Sammeln von Karteninformationen und senden diese direkt via automatisierte Telegram-Nachrichten an die Angreifer.
Neue Dimension des mobilen Betrugs
Diese NFC-Relay-Malware markiert eine besorgniserregende Entwicklung in der mobilen Bedrohungslandschaft. Anders als traditionelle Banking-Trojaner, die auf Bildschirm-Overlays zur Passwort-Erfassung setzen, missbraucht diese Methode direkt die Hardware und Protokolle des Android-Betriebssystems.
Die schnelle Vermehrung auf 760 Varianten deutet auf einen ausgereiften Untergrundmarkt für diese Werkzeuge hin. Sicherheitsexperten warnen: Die Bequemlichkeit mobiler kontaktloser Zahlungen hat eine lukrative neue Angriffsfläche geschaffen.
Besonders brisant: Osteuropa dient als Testfeld für diese großangelegten NFC-Relay-Attacken. Experten befürchten, dass nach der Perfektionierung der Techniken bald weltweite Kampagnen folgen könnten.
Schutzmaßnahmen für Nutzer
Um sich vor diesen Angriffen zu schützen, empfehlen Sicherheitsforscher mehrere Vorsichtsmaßnahmen:
- Nur offizielle Quellen nutzen: Apps ausschließlich aus dem Google Play Store oder über Links der offiziellen Bank-Website installieren
- Standard-Zahlungs-App prüfen: Regelmäßig kontrollieren, welche App als Standard für NFC-Zahlungen eingestellt ist
- Berechtigungen hinterfragen: Misstrauen bei Apps, die NFC- oder Barrierefreiheits-Berechtigungen anfordern
- Play Protect aktivieren: Androids integrierte Sicherheitsfunktion regelmäßig nutzen
- NFC deaktivieren: Die Funktion ausschalten, wenn sie nicht benötigt wird
Anzeige: Übrigens: Wer sein Android nach den jüngsten NFC-Angriffen schnell und zuverlässig absichern möchte, sollte die 5 wichtigsten Schutzmaßnahmen kennen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps schützen – inklusive einfacher Checklisten und konkreter Einstellungen. Ideal für alle, die WhatsApp, Online-Shopping, PayPal oder Online-Banking nutzen. Jetzt kostenloses Android-Sicherheitspaket sichern
Die anhaltende Expansion dieser Kampagne zeigt: NFC-Missbrauch wird eine dauerhafte Bedrohung für das mobile Zahlungsökosystem bleiben.
