Ghost Tap: Neue Android-Malware nutzt NFC für Bankraub

Eine neue Android-Malware namens „Ghost Tap“ klaut Bankdaten per NFC und führt unbemerkt Zahlungen durch. Sicherheitsexperten schlagen Alarm vor der raffinierten Schadsoftware, die sich als harmlose Banking-App tarnt.

Die Malware arbeitet im Team: Zuerst installiert sich eine „Leser“-App auf dem Opfer-Smartphone. Diese appelliert an das Vertrauen der Nutzer – etwa mit der Aufforderung, die eigene Bankkarte zur „Verifizierung“ an das Handy zu halten. In diesem Moment liest die Schadsoftware heimlich alle NFC-Daten der Karte aus.

• Die gestohlenen Daten sendet sie sofort an einen Server der Angreifer.
• Ein Komplize nutzt parallel eine „Tapper“-App auf einem zweiten Smartphone.
• Dieses Gerät empfängt die Live-Daten und emuliert die gestohlene Karte.
• An jedem kontaktlosen Bezahlterminal kann der Täter nun unbemerkt einkaufen – die physbe Karte des Opfers bleibt dabei im Portemonnaie.

Immer neue Tarnungen: Vom Sicherheitstool zum Messenger

Die Masche, bösartige Software als nützliche App zu verkleiden, ist ein Dauerbrenner bei Cyberkriminellen. Ghost Tap imitiert Finanzanwendungen, doch andere Schädlinge wählen bekannte Marken als Köder.

Phishing, gefälschte Apps und Live‑Daten-Diebstahl durch Tools wie „Ghost Tap“ gefährden nicht nur Bankkonten, sondern erlauben Tätern kontaktloses Bezahlen mit Ihrer Karte. Ein kostenloses Anti-Phishing-Paket erklärt in vier einfachen Schritten, wie Sie gefälschte Apps erkennen, manipulierte Downloads vermeiden und sensible NFC‑Daten schützen. Holen Sie sich den praxisnahen Leitfaden mit konkreten Sofortmaßnahmen für Ihr Smartphone. Anti-Phishing-Paket kostenlos anfordern

Der Banking-Trojaner „Vultur“ gab sich beispielsweise als Sicherheits-App von McAfee aus. Andere Malware-Familien wie „ClayRat“ oder „Sturnus“ tarnten sich als populäre Messenger wie WhatsApp. Die Verbreitung läuft meist über gefälschte Webseiten, Phishing-SMS oder betrügerische Werbeanzeigen in sozialen Netzwerken, die zum Download manipulierte APK-Dateien locken.

Android unter Dauerbeschuss

Die Entdeckung von Ghost Tap passt in ein bedrohliches Gesamtbild. Sicherheitsanalysten verzeichneten bereits im vergangenen Jahr einen drastischen Anstieg bei Android-Banking-Trojanern. Diese Schadprogramme sind darauf spezialisiert, Login-Daten abzugreifen, SMS mit Zwei-Faktor-Codes abzufangen und sogar die vollständige Kontrolle über Geräte zu übernehmen.

Gleichzeitig warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig vor kritischen Sicherheitslücken in Android. Google versucht, mit monatlichen Sicherheitsupdates gegenzusteuern und plant für 2026 verschärfte Richtlinien für App-Entwickler.

Der Wettlauf um die mobile Brieftasche

Die Nutzung von NFC für Echtzeit-Betrug markiert eine neue Eskalationsstufe. Cyberkriminelle entwickeln ihre Methoden ständig weiter, um Sicherheitsvorkehrungen zu umgehen. Sie nutzen gezielt die ausgefeilten Funktionen moderner Smartphones aus.

Experten sehen darin eine klare Warnung: Traditionelle Antiviren-Software reicht oft nicht mehr aus. Die Bankenbranche steht unter Druck, unsichere SMS-TANs endgültig durch sicherere Alternativen wie app-basierte Push-Benachrichtigungen oder Hardware-Schlüssel zu ersetzen.

So schützen Sie sich vor Ghost Tap & Co.

Nutzer können ihr Risiko mit einfachen Maßnahmen deutlich senken:

• Nur offiziell: Installieren Sie Apps ausschließlich aus dem Google Play Store.
• Berechtigungen prüfen: Seien Sie misstrauisch, wenn eine App ungewöhnliche Zugriffe fordert – besonders auf Bedienungshilfen (Accessibility Services).
• NFC ausschalten: Deaktivieren Sie die NFC-Funktion in den Einstellungen, wenn Sie sie nicht aktiv zum Bezahlen nutzen.
• Updates sofort: Halten Sie Ihr Android-Betriebssystem und alle Apps stets auf dem neuesten Stand, um Sicherheitslücken zu schließen.
• Wachsam bleiben: Hinterfragen Sie unerwartete Nachrichten oder zu verlockende Angebote, die zum Download einer App auffordern.

PS: Wussten Sie, dass viele NFC‑Angriffe über gefälschte Apps oder Phishing‑SMS starten? Wenn Sie Ihr Konto und Ihr Smartphone besser schützen wollen, enthält dieses Gratis-Paket praxisnahe Checklisten, Erkennungsmerkmale und konkrete Gegenmaßnahmen, die sich sofort anwenden lassen – ideal auch zum Weitergeben an Familie und Kollegen. Jetzt Anti-Phishing-Guide herunterladen