NFC-Malware: Neue Android-Trojaner kapern kontaktloses Bezahlen

Sicherheitsforscher schlagen Alarm: Raffinierte Android-Schadsoftware nutzt NFC-Technik für Echtzeit-Betrug an Geldautomaten.

Eine neue Generation von Banking-Trojanern setzt auf eine bislang wenig beachtete Angriffsmethode: Statt wie üblich Login-Daten abzugreifen, leiten die Schädlinge das NFC-Signal des Opfers in Echtzeit an ein separates Terminal weiter. Die Malware-Familien DevilNFC und NFCMultiPay zielen gezielt auf Bankkunden in Europa und Lateinamerika ab.

Wie die Angreifer die kontaktlose Zahlung kapern

Am 20. Mai 2026 dokumentierten Sicherheitsanalysten erstmals die DevilNFC-Malware. Deren Architektur ist besonders tückisch: Einmal auf dem Smartphone installiert, fungiert die Schadsoftware als passiver NFC-Leser. Hält das Opfer sein Gerät an ein Kartenlesegerät oder nutzt es für eine legitime Zahlung, fängt die Malware die Daten ab.

Da Banking-Trojaner wie DevilNFC immer raffinierter werden, ist ein grundlegender Schutz für das Smartphone für jeden Nutzer unverzichtbar. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihr Android-Gerät in wenigen Schritten effektiv gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Gleichzeitig empfängt der Angreifer diese Informationen auf einem mit einem Karten-Emulator ausgestatteten Gerät – und präsentiert sie einem Geldautomaten oder Kassenterminal. Das Besondere: DevilNFC nutzt den Android-„Kiosk-Modus", um das Opfer während der Transaktion auf einem gefälschten Banking-Bildschirm gefangen zu halten. Gleichzeitig versucht die Malware, die PIN abzugreifen und über Telegram-Kanäle oder Kommando-Server an die Täter zu senden.

Die technische Basis bildet das Open-Source-Tool NFCGate, das die Entwickler massiv angepasst haben. Branchenexperten vermuten, dass künstliche Intelligenz bei der Entwicklung half – die Täter konnten so komplexe Funktionen umsetzen, ohne auf etablierte kriminelle Infrastrukturen angewiesen zu sein.

Regional angepasste Varianten im Umlauf

Nur einen Tag später, am 21. Mai, entdeckten Forscher weitere regionale Ableger. Die Familien PhantomCard und NFCShare entpuppten sich als lokalisierte Versionen eines Malware-as-a-Service-Modells.

Die Tarnung ist perfide: In Brasilien tarnt sich PhantomCard als „Kartenschutz"-App. In Italien gibt sich NFCShare als kritisches Update für die Deutsche-Bank-App aus. Die Verbreitung erfolgt über Phishing-Kampagnen per SMS oder WhatsApp. Einmal installiert, leiten die Apps Kartendaten und Sitzungsinformationen über WebSockets an die Angreifer weiter.

Besonders bemerkenswert: NFCMultiPay, das portugiesischsprachigen Tätern zugeschrieben wird, wurde unabhängig von kriminellen Marktplätzen entwickelt. Dieser Trend zur Eigenentwicklung verändert die Bedrohungslandschaft. Kleinere Gruppen behalten so einen höheren Anteil ihrer illegalen Gewinne – und umgehen gleichzeitig die Erkennung durch Sicherheitslösungen, die auf bekannte Malware-Familien zugeschnitten sind.

Apples große Sicherheitsoffensive

Parallel zur Malware-Welle veröffentlichte Apple am 20. Mai iOS 26.5 – ein umfangreiches Update, das über 50 Sicherheitslücken schließt. Neben neuen Funktionen wie verschlüsselten RCS-Nachrichten und frischen Hintergrundbildern steht die Beseitigung kritischer Systemfehler im Vordergrund.

Zu den behobenen Schwachstellen zählen Probleme im mDNSResponder, der für die Netzwerkerkennung zuständig ist. Sicherheitsforscher identifizierten Risiken wie Denial-of-Service-Angriffe im lokalen Netzwerk und Speicherfehler, die zu unerwarteten Systemabstürzen führen können. Apple verhindert zudem das Downgrade auf ältere, unsicherere Versionen wie iOS 26.4.2.

WhatsApp testet intelligentere Timer

Auch im Messaging-Bereich tut sich etwas: WhatsApp testet in seinen Beta-Versionen für Android und iOS eine neue Funktion für verschwindende Nachrichten. Bislang begann der Countdown mit dem Senden der Nachricht. Die neue Option „nach dem Lesen" startet den Timer erst, wenn der Empfänger die Nachricht tatsächlich geöffnet hat. So sollen wichtige Informationen nicht ungesehen verschwinden.

Telegram: Segen und Fluch für die Sicherheit

Die Beteiligung automatisierter Kommunikationsplattformen nimmt ebenfalls zu. Telegram erweiterte am 19. Mai die Bot-to-Bot-Kommunikation. Was für produktive Zwecke gedacht ist – etwa die Zusammenarbeit von Bots bei Datenanalysen –, lässt sich auch von Malware-Entwicklern nutzen, um den Abfluss gestohlener Daten zu automatisieren.

Der neue „Sekretär-Modus" in Telegram Business erlaubt Bots sogar, Nachrichten im Namen von Nutzern zu beantworten. Eine Funktion, die strikte Berechtigungsverwaltung erfordert, um unbefugten Zugriff auf vertrauliche Gespräche zu verhindern.

Die neuen Angriffe auf mobile Bezahlsysteme verdeutlichen, wie wichtig aktuelle Sicherheits-Updates für den Schutz Ihrer privaten Finanzen sind. Dieser kostenlose PDF-Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie Sicherheitslücken schließen und Ihr Smartphone dauerhaft vor Malware schützen. Kostenlosen Android-Update-Ratgeber herunterladen

Ausblick: Spezialisierte Angriffe nehmen zu

Mit der wachsenden Verbreitung von NFC für Zahlungen und Zugangskontrollen rechnen Sicherheitsexperten mit einer Zunahme von Relay-Angriffen. Die Unabhängigkeit neuer Malware-Familien von traditionellen kriminellen Plattformen deutet darauf hin, dass hochspezialisierte, gezielte Attacken häufiger werden.

Für Unternehmen und Privatnutzer bleibt der wichtigste Schutz: keine Apps aus Drittquellen installieren und System-Updates umgehend einspielen. In den kommenden Wochen sind weitere Patches zu erwarten. iOS 26.5.1 befindet sich bereits im Test, um kleinere Fehler zu beheben.

Die für den 8. Juni 2026 angesetzte WWDC-Keynote dürfte weitere Einblicke in die Sicherheitsarchitektur der nächsten Betriebssystem-Generation geben. Bis dahin gilt: Vorsicht bei unbekannten Apps – und das Smartphone nicht achtlos an jedes Kartenlesegerät halten.

de | wissenschaft | 69409107 |