DevilNFC: Neue Android-Malware kapert NFC-Zahlungen in Echtzeit

DevilNFC kombiniert Phishing mit einer perfiden Technik: Sie nutzt den Kiosk-Modus von Android, um Opfer während eines NFC-Angriffs auf ihrem Gerät festzusetzen.

Die Schadsoftware greift gezielt Android-Nutzer in Europa und Lateinamerika an. Angreifer können kontaktlose Zahlungsdaten in Echtzeit abgreifen und für betrügerische Transaktionen oder Bargeldabhebungen nutzen. Die Betroffenen verlieren währenddessen die Kontrolle über ihr Smartphone.

Banking, PayPal und WhatsApp — auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf unserem Android-Smartphone. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Gerät wirksam vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Perfider Sperrmechanismus isoliert Opfer

Die Infektionskette beginnt mit einer Phishing-Nachricht über SMS oder WhatsApp. Die Täter geben sich als Bank aus und locken mit angeblichen Sicherheits-Updates. Ein Klick auf den Link führt zu einer täuschend echten Google-Play-Oberfläche, die die Installation einer bösartigen App verlangt.

Sobald die App startet, aktiviert DevilNFC den Kiosk-Modus. Dieser Modus fixiert eine App im Vollbildmodus – eigentlich gedacht für Terminals in Geschäften. Die Malware nutzt ihn, um die Benutzeroberfläche auszublenden und Hardware-Tasten zu deaktivieren. Das Opfer bleibt in einer gefälschten Banking-Oberfläche gefangen.

Im Hintergrund läuft der eigentliche Diebstahl: Die Malware fungiert als passives NFC-Lesegerät. Die Angreifer fordern die Nutzer auf, ihre Bankkarte an die Rückseite des Smartphones zu halten. Die ausgelesenen Daten werden in Echtzeit an ein zweites, gerootetes Android-Gerät weitergeleitet. Dieses spiegelt die Karte gegenüber einem Zahlterminal oder Geldautomaten vor.

Unabhängige Akteure fordern etablierte Strukturen heraus

Die Entdeckung von DevilNFC markiert einen Wendepunkt. Bisher dominierten zentralisierte „Malware-as-a-Service“-Ökosysteme den Markt. DevilNFC und die zeitgleich beobachtete Malware NFCMultiPay stammen dagegen von unabhängigen, regionalen Akteuren.

DevilNFC weist starke Bezüge zu spanischsprachigen Entwicklern auf. NFCMultiPay deutet auf eine Herkunft aus Brasilien hin. Diese neuen Akteure nutzen keine geteilte Infrastruktur und haben ihre Werkzeuge von Grund auf neu entwickelt. Herkömmliche Signaturen bekannter Malware-Baukästen greifen nicht.

Die technische Präzision ist hoch: DevilNFC nutzt ein spezielles Hooking-Framework, um NFC-Kommunikationen auf Systemebene abzufangen. Dabei umgeht es die standardmäßigen Android-Programmierschnittstellen. Der Relay-Prozess bleibt für das Betriebssystem nahezu unsichtbar.

KI-Spuren im Code entdeckt

Ein besorgniserregender Aspekt: Experten fanden in den Code-Strukturen von DevilNFC ungewöhnliche Muster. Die Phishing-Vorlagen weisen eine architektonische Überkonstruktion auf. CSS- und JavaScript-Elemente sind mit einer Präzision strukturiert, die auf generative KI-Modelle hindeutet.

Auch bei NFCMultiPay fanden sich Indizien. In den Debug-Logs wurden Metrik-Labels entdeckt, die durch Emojis kategorisiert und von ASCII-Rahmen umgeben waren. Solche Formatierungsmuster sind charakteristisch für Code von großen Sprachmodellen.

Der Einsatz von KI ermöglicht es technisch weniger versierten Kriminellen, funktionale Malware zu erstellen. Angreifer können ihre Werkzeuge schneller an neue Sicherheitsmaßnahmen anpassen. Die höhere Frequenz neuer Malware-Varianten setzt Google Play Protect und andere Sicherheitsdienste unter enormen Zeitdruck.

So schützen Sie sich vor NFC-Angriffen

Sicherheitsexperten raten zu erhöhter Wachsamkeit. Vermeiden Sie Sideloading – installieren Sie keine APK-Dateien aus unbekannten Quellen. Offizielle Banken fordern Kunden nicht auf, Sicherheitssoftware über SMS-Links herunterzuladen.

Deaktivieren Sie die NFC-Funktion, wenn Sie sie nicht benötigen. Da DevilNFC auf das Auslesen des physischen Chips angewiesen ist, unterbricht ein ausgeschaltetes NFC-Modul die Angriffskette effektiv.

Prüfen Sie kritisch, welche Berechtigungen eine App anfordert. Zugriff auf Bedienungshilfen oder die Erlaubnis zur Anzeige über anderen Apps sind oft die Basis für den missbräuchlichen Kiosk-Modus.

Ein veraltetes Smartphone ist wie eine offene Haustür für Cyberkriminelle, die es auf Ihre Bankdaten abgesehen haben. In diesem kostenlosen Report erfahren Sie, wie Sie mit den richtigen Updates Sicherheitslücken schließen und Malware dauerhaft verhindern. Kostenlosen Android-Update-Ratgeber herunterladen

Finanzinstitute reagieren mit verfeinerten Betrugserkennungssystemen. Geo-Blocking-Funktionen und Echtzeit-Analysen von Transaktionsmustern helfen, verdächtige Vorgänge zu stoppen. Doch der Faktor Mensch bleibt die Schwachstelle – durch Kiosk-Modus und KI-gestütztes Social Engineering massiv unter Druck gesetzt.

Analyse: Die Reifung der Angriffsmethoden

DevilNFC illustriert eine Eskalation im mobilen Banking-Betrug. Frühere Trojaner stahlen Zugangsdaten durch Overlays. Moderne Varianten greifen direkt die Hardware-Funktionen an. Der Kiosk-Modus verhindert, dass das Opfer den Betrug bemerkt, während die Karte ausgelesen wird.

Die Verschiebung weg von globalen MaaS-Plattformen hin zu lokalen Gruppen zeigt: Cyberkriminelle diversifizieren ihre Geschäftsmodelle. Durch Eigenentwicklung sparen sie Abonnementgebühren für illegale Plattformen und erhöhen ihre operative Sicherheit. Die Malware-Stämme sind weniger verbreitet und werden seltener in globale Antiviren-Datenbanken aufgenommen.

Ausblick: Der Wettlauf mit der KI

Branchenanalysten erwarten eine zunehmende Komplexität von NFC-Angriffen. Mit der Verbreitung kontaktloser Bezahlsysteme wächst die Angriffsfläche. Künftige Versionen könnten versuchen, die Sicherheitschips von Smartphones direkter anzugreifen.

Der Wettlauf im Bereich der künstlichen Intelligenz bestimmt das Tempo. Kriminelle nutzen KI zur Code-Optimierung, Sicherheitsanbieter setzen KI-basierte Verhaltensanalysen ein. Für Endverbraucher reicht technisches Vertrauen allein nicht mehr. Die Kombination aus technischem Schutz und gesunder Skepsis gegenüber unaufgeforderten Nachrichten bleibt die wichtigste Verteidigungslinie.

de | wissenschaft | 69389291 |