Ghost Tapped: Neue Android-Malware leert Konten per NFC-Hack

Eine raffinierte Android-Schadsoftware nutzt Smartphones als Werkzeug für kontaktlosen Betrug. Die als „Ghost Tapped“ bekannte Malware kapert die NFC-Chips von Handys, um Bankdaten in Echtzeit zu klonen.

Die Sicherheitsforscher von Group-IB enthüllten die Bedrohung am Mittwoch. Der Angriff funktioniert über eine Zwei-Komponenten-Architektur: Eine schädliche App auf dem Opferhandy liest die Daten der physischen Bankkarte aus. Diese werden sofort an ein zweites Gerät der Betrüger weitergeleitet, das damit an Bezahlterminals Transaktionen ausführt. Für das Terminal erscheint das Kriminellen-Handy wie die echte Karte.

So funktioniert der „Geister-Zahlungs“-Angriff

Der Angriff startet mit geschickter Manipulation. Opfer erhalten gefälschte SMS oder Anrufe, die angeblich von ihrer Bank stammen. Vor einer angeblichen Sicherheitslücke wird gewarnt und zur Installation einer „Sicherheits-App“ gedrängt. Diese bösartige App bittet dann darum, die eigene Karte zur „Verifizierung“ an das Smartphone zu halten.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und warum gerade mobile Angriffe wie „Ghost Tapped“ so gefährlich werden können. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt praxisnahe Schutzmaßnahmen gegen Social‑Engineering, Phishing und mobile Malware: von Mitarbeiter-Schulungen über einfache technische Härtungen bis zu Checklisten für Händler mit kontaktlosen Zahlungen. Ideal für Geschäftsführer und IT-Verantwortliche, die Sicherheitslücken schnell und kosteneffektiv schließen wollen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

In diesem Moment wird der NFC-Chip des Handys zum Lesegerät. Die App erfasst Kartennummer und Verschlüsselungsdaten und überträgt sie blitzschnell an die Server der Betrüger. Von dort gelangen sie auf das Smartphone des Kriminellen, der es an jedem kontaktlosen Terminal einsetzen kann. Die Geschwindigkeit des Relais umgeht viele Betrugserkennungssysteme, die auf geografische Unstimmigkeiten oder Zeitverzögerungen achten.

Massive Verbreitung durch Social Engineering

Die Malware verbreitet sich nicht über technische Schwachstellen, sondern durch massives Social Engineering. Die gefälschten Banking-Apps werden über Drittseiten verteilt und imitieren täuschend echt das Design großer Banken. Da Android für NFC-Zugriffe explizite Nutzererlaubnis benötigt, ist die Täuschung des Nutzers der entscheidende Schritt.

Hinter der Kampagne stehen laut Group-IB mutmaßlich chinesischsprachige Bedrohungsakteure. Gruppen wie „TX-NFC“ oder „NFU Pay“ bieten die Malware-Kits in Telegram-Kanälen und Dark-Web-Foren an. Die Infrastruktur ist professionell organisiert und modular aufgebaut, sodass die Apps schnell für Bankkunden in verschiedenen Ländern angepasst werden können.

Globale Opfer und finanzielle Schäden

Die finanziellen Verluste sind bereits beträchtlich. Allein über ein analysiertes Händlernetzwerk wurden zwischen November 2024 und August 2025 betrügerische Transaktionen im Wert von umgerechnet über 300.000 Euro abgewickelt. Zunächst in Asien aktiv, hat die Kampagne mittlerweile Opfer in Europa, den USA und dem Nahen Osten gefunden.

Insgesamt sind mehr als 54 Varianten der schädlichen APK-Dateien im Umlauf. Die Schadsoftware markiert eine gefährliche Weiterentwicklung von NFC-Relay-Angriffen, die lange theoretisch blieben. Tools wie „NFCGate“ dienten als Proof of Concept; „Ghost Tapped“ macht die Technik nun für eine breite Masse von Cyberkriminellen nutzbar.

Was bedeutet das für die mobile Sicherheit?

Die Bedrohung zwingt zu einer Neubewertung des Sicherheitsmodells. Während Betriebssysteme Apps immer besser isolieren, bleibt der menschliche Faktor die größte Schwachstelle. Indem Nutzer davon überzeugt werden, das Karten-Tapping sei eine Sicherheitsmaßnahme, werden technische Schutzvorkehrungen ausgehebelt.

Google verweist auf Google Play Protect, das standardmäßig aktiv ist und bekannte Varianten der Malware blockieren kann. Da die Apps jedoch über Drittquellen verteilt und ständig neu verpackt werden, ist die signaturbasierte Erkennung ein Katz-und-Maus-Spiel.

Experten erwarten, dass solche Angriffe mit der Verbreitung kontaktloser Zahlungen zunehmen werden. Künftig könnten KI-gesteuerte Voice-Bots die betrügerischen Anrufe noch überzeugender und in größerem Maßstab automatisieren. Banken müssen möglicherweise strengere Verifizierungsprotokolle für NFC-Interaktionen in ihren Apps einführen, etwa eine biometrische Authentifizierung vor dem Kartenlesen.

Die wichtigste Verteidigung bleibt aktuell die Aufklärung der Nutzer: Seriöse Banken werden Kunden nie auffordern, ihre physische Karte gegen das eigene Handy zu halten, um ein Konto zu „entsperren“. Nutzer sollten Banking-Apps ausschließlich aus dem offiziellen Google Play Store beziehen und jede Aufforderung zum Kartenscan äußerst misstrauisch betrachten.

PS: Sie möchten sich gezielt gegen Smartphone‑Malware und Social‑Engineering-Angriffe schützen? Das Gratis‑E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen, relevante Gesetzesänderungen und sofort umsetzbare Schutzmaßnahmen zusammen – von sicheren App‑Quellen über gezielte Nutzeraufklärung bis zu Prüflisten für kontaktlose Zahlungen. Besonders nützlich für Mittelstand, Händler und IT‑Verantwortliche, die ohne großes Budget ihre Sicherheitslage verbessern wollen. Gratis E-Book: Cyber Security Awareness Trends sichern