NGate-Malware: Neue Android-Bedrohung klaut Zahlungskarten in Echtzeit

Eine hochentwickelte Variante der Schadsoftware NGate nutzt manipulierte Banking-Apps, um NFC-Daten von Android-Geräten abzugreifen. Das Besondere: Die Täter setzen auf eine Kombination aus Social Engineering und modernster Relay-Technik – und haben damit vor allem Nutzer in Südamerika im Visier.

Forscher von ESET haben die neue Bedrohung im Frühjahr 2026 entdeckt. Die Malware zielt darauf ab, physische Zahlungskarten in Echtzeit zu klonen. Das ermöglicht unbefugte Abhebungen an Geldautomaten und Zahlungen an Kassenterminals.

Die perfide Masche: Wie HandyPay zur Falle wird

Im Zentrum des Angriffs steht die manipulierte Version einer legitimen Android-App namens HandyPay. Die Anwendung wurde ursprünglich 2021 als mobiles Zahlungstool entwickelt und unterstützt NFC-basierte Datenübertragungen zwischen Geräten. Genau diese legitime Funktion macht sie zur idealen Tarnung.

Wenn Kriminelle versuchen, Banking-Apps für den Diebstahl von NFC-Daten zu manipulieren, ist ein umfassender Basisschutz für das Smartphone unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

ESET-Forscher Lukáš Štefanko erklärt: Die Angreifer haben keinen neuen Exploit entwickelt, sondern die bestehende HandyPay-App mit schädlichem Code versehen. Die infizierte Version wird über dubiose Drittanbieter-Websites verbreitet, die offizielle Plattformen imitieren. Zwei Hauptfallen wurden identifiziert: eine Seite, die die staatliche Lotterieorganisation Rio de Prêmios vortäuscht, und ein gefälschter Google-Play-Store für ein Karten-Schutztool namens Proteção Cartão.

Sobald das Opfer die App installiert und als Standard-Zahlungsdienst festlegt, beginnt der Angriff. Die Malware fordert den Nutzer auf, seine PIN in eine betrügerische Oberfläche einzugeben und dann die physische Karte ans Smartphone zu halten. In diesem Moment fängt NGate die NFC-Daten ab – und leitet sie an ein vom Angreifer kontrolliertes Gerät weiter. Der Kriminelle kann die Karte dann auf einem zweiten Smartphone emulieren und damit an NFC-fähigen Geldautomaten oder Terminals Geld abheben.

Wirtschaftlichkeit und KI als Treiber

Der Wechsel zu manipulierten legitimen Apps wie HandyPay ist kein Zufall. Er spiegelt einen strategischen Wandel in der Ökonomie der Cyberkriminalität wider. Bisher setzten Betreiber von NFC-Malware-as-a-Service-Kits auf teure oder auffällige Spezialwerkzeuge. Das NFU-Pay-Kit kostete rund 400 Euro pro Monat, das Tool TX-NFC sogar etwa 500 Euro. Die legitime HandyPay-App hingegen verlangt nur eine kleine Spende von rund zehn Euro für die Vollversion – ein äußerst kosteneffizienter Ersatz.

Doch nicht nur finanziell haben die Angreifer umgerüstet. Die technische Entwicklung der neuen NGate-Variante deutet auf einen wachsenden Einsatz automatisierter Tools hin. Forscher fanden in der Schadsoftware Artefakte wie bestimmte Emojis in Log-Strings – ein typisches Merkmal von Ausgaben großer Sprachmodelle (LLMs). Zwar bleibt ein endgültiger Beweis für KI-Beteiligung schwierig, doch das Muster passt in einen dokumentierten Trend: Bedrohungsakteure nutzen generative KI, um Schadcode zu optimieren oder zu produzieren – und senken so die Hürde für technisch weniger versierte Kriminelle.

Die Kampagne, die ESET zufolge seit mindestens November 2025 aktiv ist, zeigt eine Zentralisierung moderner Mobilbetrugs-Infrastruktur. Die Angreifer nutzten denselben Command-and-Control-Server sowohl zur Verbreitung der Malware als auch zum Sammeln der gestohlenen PINs – die separat über Standard-HTTP-Anfragen abfließen. Diese Trennung von PIN-Abfluss und NFC-Relay stellt sicher, dass die Angreifer alle nötigen Daten haben, um Sicherheitsmaßnahmen an Geldautomaten zu umgehen.

Ein globaler Trend: NFC-Betrug auf dem Vormarsch

Die neue NGate-Variante ist kein Einzelfall, sondern Teil einer breiten Welle von NFC-bezogenem Betrug. Marktforscher von Zimperium zLabs haben seit Frühjahr 2024 mehr als 760 Android-Apps identifiziert, die NFC und Host Card Emulation (HCE) missbrauchen, um illegal Zahlungsdaten zu erlangen. Die Ergebnisse zeigen eine rasante Entwicklung, wie Kriminelle die zunehmend beliebten Tap-to-Pay-Systeme ausbeuten.

Auch andere Schadsoftware-Familien setzen auf ähnliche Relay-Taktiken. Die Sicherheitsfirma Cleafy identifizierte etwa den Stamm SuperCard X, der als modifiziertes Relay-Gerät fungiert. Analysten berichten, dass SuperCard X in bestimmten Regionen über 175.000 Geräte kompromittiert hat – mit geschätzten Schäden von umgerechnet über 4,5 Millionen Euro allein im ersten Quartal 2025. Der Trojaner PhantomCard wiederum zielt auf brasilianische Bankkunden ab und nutzt gefälschte Google-Play-Seiten mit positiven Bewertungen.

Allen diesen Malware-Familien – NGate, SuperCard X und PhantomCard – ist gemeinsam, dass sie auf Social Engineering setzen, um die robusten Sicherheitsfunktionen moderner mobiler Betriebssysteme zu umgehen. Indem sie Nutzer dazu bringen, Installationen aus unbekannten Quellen manuell zu erlauben und betrügerischen Apps den Status des Standard-Zahlungsdienstes zu gewähren, neutralisieren Kriminelle die nativen Schutzmechanismen für NFC-Transaktionen.

Da herkömmliche Schutzmechanismen bei raffinierten Social-Engineering-Tricks oft versagen, raten IT-Experten zu gezielten Sicherheitsvorkehrungen für mobile Endgeräte. Sichern Sie WhatsApp, PayPal und Ihre Banking-Apps dauerhaft ab, indem Sie den kostenlosen PDF-Leitfaden mit den wichtigsten Experten-Tipps nutzen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

Schutzmaßnahmen und Ausblick

Da NFC-Betrug operativ immer ausgereifter wird, betonen Sicherheitsexperten, dass sich auch die Abwehrmaßnahmen weiterentwickeln müssen. Google Play Protect überwacht zwar aktiv bekannte Schadsoftware-Signaturen und warnt vor potenziell gefährlichen Apps. Doch der Einsatz manipulierter legitimer Apps macht die Erkennung deutlich schwieriger. Die HandyPay-basierte NGate-Variante ist besonders schwer zu fassen, weil sie das vertraute Erscheinungsbild und die begrenzten Berechtigungen der Original-App erbt.

Um diese Risiken zu minimieren, empfehlen Analysten Finanzinstituten und Mobilfunknutzern einen strengeren Ansatz bei der App-Prüfung. Sicherheitsexperten raten: Laden Sie Zahlungs-Apps niemals aus unbekannten Quellen herunter, die per SMS oder WhatsApp verschickt werden – selbst wenn die Nachrichten angeblich von Ihrer Bank oder einer Behörde stammen. Die Überprüfung, ob eine App direkt aus dem offiziellen Google Play Store stammt, bleibt eine entscheidende Grundlage für Sicherheit.

Der Ausblick für den Rest des Jahres 2026 deutet darauf hin, dass NFC-basierter Relay-Betrug geografisch weiter expandieren wird. Während Brasilien als wichtigstes Testfeld für diese Techniken diente, haben Forscher von Resecurity bereits Anstiege ähnlicher Aktivitäten in Südostasien und Teilen Europas festgestellt. Solange die Einstiegskosten für solche Angriffe durch günstige Relay-Tools und KI-gestützte Programmierung niedrig bleiben, wird der Anreiz für Bedrohungsakteure, diese Methoden zu verfeinern, hoch bleiben. Die Branche muss nun auf hardwaregestützte Sicherheit und verbesserte Echtzeit-Überwachung von NFC-Relay-Mustern setzen, um die Integrität mobiler Zahlungssysteme zu schützen.

de | boerse | 69236378 |