PhantomCard und RatOn: Neue Android-Malware plündert Bankkonten
Neue Schadsoftware wie PhantomCard und RatOn verwandeln Smartphones in ferngesteuerte Kartenskimmer via NFC-Technologie. Die Trojaner umgehen Sicherheitsmaßnahmen und ermöglichen Kriminellen direkten Zugriff auf Zahlungsdaten.
Diese Woche warnen Cybersicherheitsexperten vor einer besorgniserregenden Entwicklung: Hochentwickelte Android-Trojaner nutzen die NFC-Technologie von Smartphones, um in Echtzeit betrügerische Zahlungen durchzuführen. Die Schadsoftware verwandelt infizierte Geräte praktisch in ferngesteuerte Kartenskimmer.
Die als „PhantomCard“ und „RatOn“ bekannten Banking-Trojaner markieren eine neue Eskalationsstufe bei mobilen Bedrohungen. Sie kombinieren klassische Malware-Taktiken mit völlig neuen Angriffsmethoden, um herkömmliche Sicherheitsmaßnahmen zu umgehen.
Perfide Täuschung mit fatalen Folgen
Die Angreifer locken ihre Opfer mit scheinbar harmlosen Apps – getarnt als „Kartenschutz-Dienste“ oder Erwachseneninhalte. Nach der Installation fordert die Malware das Opfer auf, die kontaktlose Kredit- oder Debitkarte zur „Verifizierung“ an das Handy zu halten.
Was dann geschieht, ist tückisch: Die Schadsoftware liest die NFC-Daten aus und übermittelt sie an einen von Kriminellen kontrollierten Server. Dadurch entsteht ein direkter Kanal, über den Betrüger die Kartendaten für Einkäufe an Kassensystemen oder Geldautomaten nutzen können.
So funktioniert der „Geister-Tap“-Trick
Das Herzstück dieser Bedrohung liegt in der sogenannten NFC-Relay-Attacke. Laut der Cybersicherheitsfirma ThreatFabric baut die Malware eine bidirektionale Verbindung zwischen der Karte des Opfers und einem Kassensystem in der Nähe des Kriminellen auf.
Besonders raffiniert: Die Software zeigt eine gefälschte Benutzeroberfläche, die das Opfer zur PIN-Eingabe verleitet. Diese wird ebenfalls an den Betrüger weitergeleitet, um betrügerische Käufe abzuschließen. Die Transaktionen erscheinen als legitime Zahlungen der authentifizierten Karte – was eine Echtzeit-Erkennung durch Banken erschwert.
Malware-as-a-Service macht Cyberkriminalität zum Geschäft
Diese fortschrittlichen Trojaner werden zunehmend über ein Malware-as-a-Service-Modell (MaaS) vertrieben. Das ermöglicht auch technischen Laien, diese gefährlichen Werkzeuge zu mieten und einzusetzen.
Untersuchungen zeigen: PhantomCard basiert auf der chinesischen MaaS-Plattform „NFU Pay“. Während anfängliche Kampagnen hauptsächlich Bankkunden in Brasilien und Europa ins Visier nahmen, stellt die Anpassbarkeit dieser Plattformen ein globales Risiko dar.
Der Trojaner RatOn, der Nutzer in Tschechien und der Slowakei attackiert, geht noch weiter: Er kombiniert NFC-Relay-Fähigkeiten mit einem vollwertigen Remote Access Trojaner und einem automatisierten Überweisungssystem. Damit kann er nicht nur Zahlungsbetrug begehen, sondern auch Krypto-Wallets übernehmen und illegale Geldtransfers direkt in Banking-Apps automatisieren.
Mobile Bedrohungen erreichen Rekordniveau
Die Zahlen sprechen eine deutliche Sprache: Laut Kaspersky-Bericht für das erste Quartal 2025 begegneten über 12 Millionen Nutzer mobilen Bedrohungen – ein Anstieg von 36 Prozent gegenüber dem Vorquartal.
Das offene Android-Ökosystem, das das „Sideloading“ von Apps aus inoffiziellen Quellen erlaubt, macht die Plattform zum bevorzugten Ziel. Angreifer nutzen überzeugende Phishing-Seiten, die den Google Play Store nachahmen, um ihre Schadsoftware zu verbreiten.
Anzeige: Passend zum Thema Android-Sicherheit – viele Nutzer übersehen genau die Maßnahmen, die bei Phishing-Apps und Malware den Unterschied machen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Smartphone ohne teure Zusatz-Apps gegen Datendiebe, Banking‑Betrug und WhatsApp‑Missbrauch absichern. Inklusive Checklisten und empfohlenen Einstellungen. Jetzt kostenloses Android‑Sicherheitspaket herunterladen
Schutz vor der unsichtbaren Gefahr
Sicherheitsexperten erwarten eine weitere Ausbreitung dieser NFC-basierten Angriffe. Der Erfolg von PhantomCard, RatOn und ähnlicher Malware wie SuperCard X wird wahrscheinlich weitere Innovationen von Cyberkriminellen anspornen.
Zentrale Schutzmaßnahmen für Nutzer:
– Apps ausschließlich aus dem offiziellen Google Play Store herunterladen
– Höchste Skepsis bei Apps, die zum Antippen der Zahlungskarte auffordern
– App-Berechtigungen sorgfältig prüfen
– Robuste Mobile-Security-Software verwenden
– Vorsicht bei unaufgeforderten Links in SMS-Nachrichten
Anzeige: Übrigens: Wenn Apps nach Kartentap oder weitreichenden Berechtigungen fragen, zählt eine saubere Grundeinstellung Ihres Androids doppelt. Dieser Gratis‑Guide zeigt die 5 wichtigsten Schutzmaßnahmen, warnt vor typischen Fallen und führt Sie klickgenau durch alle Einstellungen – ideal für Online‑Banking, PayPal und Shopping. Kostenlosen Sicherheits‑Guide für Android sichern
Für Finanzinstitute wird die Verbesserung von Transaktionsüberwachungssystemen zur Erkennung von Relay-Attacken-Mustern entscheidend sein, um ihre Kunden vor dieser wachsenden Bedrohung zu schützen.
