RelayNFC: Android-Malware klont Bankkarten per NFC

Sicherheitsforscher warnen vor einer gefährlichen Doppelbedrohung: Die neue Schadsoftware „RelayNFC” kopiert kontaktlose Bankkarten in Echtzeit, während parallel ein WhatsApp-Wurm namens „Water Saci” den brasilianischen Finanzsektor attackiert. Beide Angriffswellen könnten schon bald Europa erreichen.

Was zunächst wie zwei getrennte Cyberangriffe aussah, entpuppt sich als koordinierte Kampagne: Während RelayNFC die NFC-Hardware von Android-Smartphones missbraucht, verbreitet sich Water Saci rasend schnell über WhatsApp. Die Kombination aus physischer und digitaler Manipulation stellt klassische Sicherheitsmaßnahmen vor völlig neue Herausforderungen.

Berichte von Donnerstag zeigen: Die Angreifer haben ihre Taktik binnen 48 Stunden deutlich verfeinert. Experten sprechen von einer „neuen Ära des Banking-Betrugs” – und Deutschland könnte das nächste Ziel sein.

Der perfide Trick mit der eigenen Karte

RelayNFC funktioniert erschreckend simpel: Eine gefälschte Banking-App fordert Opfer auf, ihre EC- oder Kreditkarte zur „Verifizierung” an das eigene Smartphone zu halten. Was nach einer harmlosen Sicherheitsabfrage klingt, aktiviert einen hochkomplexen Relay-Angriff.

Viele Android-Nutzer übersehen diese 5 Sicherheitsmaßnahmen, die genau vor Angriffen wie RelayNFC und WhatsApp-Trojanern schützen können. Der kostenlose Praxis-Report erklärt Schritt für Schritt, wie Sie Ihr Smartphone so einrichten, dass WhatsApp, Banking-Apps und kontaktlose Zahlungen deutlich sicherer werden – inklusive Checklisten für App-Berechtigungen, automatische Updates und sichere NFC-Einstellungen. Schützen Sie Ihre Daten und Zahlungen in wenigen Minuten. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Sobald die Karte das Display berührt, fängt die Malware die verschlüsselte NFC-Kommunikation ab. Über eine WebSocket-Verbindung landen die Kartendaten binnen Millisekunden auf dem Gerät der Kriminellen – die damit weltweit an Geldautomaten oder Kassensystemen bezahlen können, als würden sie die physische Karte verwenden.

„RelayNFC baut einen vollständigen APDU-Relay-Kanal auf”, erklären Analysten. Die Schadsoftware nutzt das React-Native-Framework und wurde mit Hermes-Bytecode kompiliert – eine Kombination, die sie praktisch unsichtbar macht. Mitte der Woche erkannte kein gängiger Virenscanner die Bedrohung.

WhatsApp als Virenschleuder

Parallel dazu perfektioniert die Hackergruppe „Water Saci” eine zweite Angriffswelle. Seit Dienstag verbreitet sich ihr Banking-Trojaner wurmartig über WhatsApp: Kompromittierte Kontakte verschicken automatisch PDF- oder HTA-Dateien, die beim Öffnen nicht nur Schadsoftware installieren, sondern auch die WhatsApp-Web-Sitzung des Opfers kapern.

Das Perfide daran? Die Malware verschickt sich selbstständig an alle Kontakte weiter – getarnt als Nachricht von vertrauenswürdigen Bekannten. Diese Kettenbriefmechanik hat Water Saci binnen Tagen in ganz Brasilien verbreitet.

Ist der Trojaner erst installiert, überwacht er gezielt Banking-Apps und Krypto-Wallets. Gefälschte Login-Masken für Santander, Banco do Brasil und Bradesco fischen Zugangsdaten ab, während im Hintergrund Screenshots und Tastatureingaben mitgeschnitten werden.

Brasilien als Testlabor für Europa?

Warum sollten deutsche Bankkunden diese Meldung ernst nehmen? Sicherheitsexperten beobachten ein wiederkehrendes Muster: Südamerika dient Cyberkriminellen regelmäßig als Versuchslabor, bevor ausgereifte Angriffsmethoden nach Europa und Nordamerika exportiert werden.

Die Professionalität der Entwicklung gibt Anlass zur Sorge. Die Nutzung etablierter Software-Frameworks wie React Native zeigt: Hier arbeiten keine Skript-Kiddies, sondern Entwickler mit fundierten Programmierkenntnissen. Die NFC-Relay-Technik lässt sich problemlos auf kontaktlose Zahlungen in der Eurozone übertragen.

Besonders brisant: Kleinbeträge unter 50 Euro benötigen oft keine PIN-Eingabe. RelayNFC könnte durch massenhafte Mikrotransaktionen enorme Schäden anrichten, die einzeln unter dem Radar von Betrugssystemen bleiben.

„Ghost Tap” – die Zukunft des Kartenbetrugs?

Cybersecurity-Firmen rechnen bereits mit Nachahmern. Sobald die Code-Struktur von RelayNFC vollständig analysiert ist, dürften Varianten auftauchen. Besonders lukrativ: „Ghost-Tap-Services”, bei denen Kriminelle die Relay-Fähigkeit als Dienstleistung verkaufen.

Der Vertrieb solcher Dienste würde die Einstiegshürde für NFC-Betrug drastisch senken – ähnlich wie Ransomware-as-a-Service die Erpressungsindustrie demokratisierte. Technisches Know-how wäre dann nicht mehr erforderlich.

So schützen Sie sich

Keine seriöse Banking-App wird Sie jemals auffordern, Ihre physische Karte ans Smartphone zu halten. Diese Faustregel sollte jeder Nutzer verinnerlichen. Apps mit solchen Anforderungen gehören sofort deinstalliert.

Bei WhatsApp-Anhängen gilt höchste Vorsicht – selbst von bekannten Kontakten. Water Saci missbraucht bewusst bestehende Vertrauensbeziehungen. Im Zweifelsfall sollte telefonisch nachgefragt werden, ob die Nachricht tatsächlich vom Absender stammt.

Banken empfehlen zudem, bei kontaktlosen Zahlungen das Transaktionslimit zu senken und Push-Benachrichtigungen für jede Transaktion zu aktivieren. So fallen verdächtige Abbuchungen sofort auf.

Die Entwicklungen der nächsten Wochen werden zeigen, ob die Angriffe auf Brasilien beschränkt bleiben – oder ob europäische Nutzer sich auf eine neue Generation mobiler Bedrohungen einstellen müssen.

PS: Sie befürchten, dass Schadprogramme wie RelayNFC oder Water Saci Ihr Android-Gerät kompromittieren könnten? Fordern Sie das kostenlose Sicherheitspaket an: Es fasst die 5 wichtigsten Schutzmaßnahmen kompakt zusammen – von sicheren NFC-Einstellungen über App-Prüfungen bis zu Verhaltenstipps bei WhatsApp-Anhängen. Praktische Checklisten helfen Ihnen sofort, Risiken zu reduzieren. Jetzt gratis Sicherheitspaket anfordern