Cybersicherheitsforscher haben eine raffinierte Android-Schadsoftware entdeckt, die Bankkonten per NFC-Relais-Angriff plündert – ein gefährlicher Quantensprung im mobilen Finanzbetrug.
Die als „Ghost Tap“ identifizierte Malware nutzt die Near-Field-Communication-Technologie (NFC) für betrügerische Kontaktlos-Zahlungen. Laut einem Bericht von Group-IB vom 7. Januar ermöglicht sie es Angreifern, NFC-Daten vom Gerät eines Opfers in Echtzeit an ein Täter-Gerät zu übertragen. So können sie „Tap-to-Pay“-Zahlungen tätigen, ohne die physische Bankkarte je in der Hand gehalten zu haben.
So funktioniert der NFC-Betrug
Die Schadsoftware wird typischerweise über bösartige APK-Dateien verbreitet, die als legitime Banking- oder Bezahl-Apps getarnt sind. Nach der Installation fordert die App den Nutzer auf, seine physische Karte zur „Verifizierung“ an die Rückseite des Smartphones zu halten. Stattdessen liest die Malware die NFC-Daten aus und leitet sie an einen Command-and-Control-Server weiter.
Berichten von eSecurity Planet zufolge hat die Kampagne bereits mindestens 355.000 Euro an unrechtmäßigen Transaktionen über einen einzigen Point-of-Sale-Anbieter generiert – und das zwischen Ende 2024 und Anfang 2025. Die Infrastruktur arbeitet mit zwei Komponenten: Eine „Leser“-App auf dem Opferhandy erbeutet die Daten, eine „Tapper“-App auf dem Kriminellenhandy emuliert die Karte dann an einem physischen Kartenterminal.
Passend zum Thema SMS‑Köder und NFC‑Relais: Aktuelle Angriffe nutzen genau diese Tricks, um Zugangsdaten und Einmal‑Passwörter (OTPs) abzugreifen und Konten zu leeren. Das kostenlose Anti‑Phishing‑Paket erklärt in einer praxisnahen 4‑Schritte‑Anleitung, wie Sie Phishing‑SMS, gefälschte Banking‑Apps und Kanal‑Verbreitung über Telegram erkennen, verdächtige Berechtigungs‑Anfragen prüfen und Ihr Smartphone sicher konfigurieren – damit Sie Angriffe früh stoppen. Jetzt Anti‑Phishing‑Guide herunterladen
Klassische SMS-Angriffe bleiben hochgefährlich
Während NFC-Angriffe einen technischen Sprung darstellen, bleiben SMS-basierte Attacken eine massive Bedrohung. Ein Vorfall am 8. Januar in Dehradun, Indien, unterstrich dies erneut. Opfer erhielten SMS-Nachrichten, die als offizielle Verkehrsstrafen (RTO-Challans) getarnt waren.
Klickten die Nutzer auf den Link, installierte sich eine Malware, die das Gerät einfror und Fernzugriff gewährte. Die Schadsoftware fing Einmalkennwörter (OTPs) und Bankbenachrichtigungen ab. Kriminelle leerten so Sparkonten und lösten Festgelder auf – alles in weniger als zehn Minuten.
Die Malware missbraucht oft Android’s Accessibility Services, um sich stillschweigend zusätzliche Berechtigungen zu verschaffen. Sie tarnt ihre Aktivität, bis das Geld weg ist. Das zeigt eine kritische Schwachstelle auf: Trotz verbreiteter Zwei-Faktor-Authentifizierung (2FA) können Malware-Programme, die Bildschirminhalte lesen oder SMS abfangen, diese Sicherheitsvorkehrungen umgehen.
Die Evolution des „On-Device Fraud“
„Ghost Tap“ und die SMS-Interceptoren sind Teil eines größeren Trends hin zu On-Device Fraud (ODF). Moderne Banking-Trojaner operieren direkt auf dem infizierten Gerät des Opfers – anders als ältere Phishing-Angriffe, die lediglich Login-Daten für die Nutzung anderswo stahlen.
Diese Methode umgeht die „Device-Fingerprinting“-Sicherheitsmaßnahmen der Banken. Diese Systeme melden typischerweise Anmeldungen von neuen oder unbekannten Geräten. Initiiert die Transaktion jedoch das eigene Smartphone des Opfers, erscheint sie den Risiko-Engines der Bank als legitim.
Die Entstehung von „Albiriox“ Ende 2025, einem Malware-as-a-Service (MaaS)-Toolkit, ebnete den Weg für diese Entwicklung. Solche Miet-Toolkits demokratisieren den Zugang zu ausgeklügelten Banking-Trojanern. Die Integration von NFC-Relais-Fähigkeiten in „Ghost Tap“ erweitert die Angriffsfläche nun über Online-Überweisungen hinaus auf physischen Point-of-Sale-Betrug.
Eine konvergierende Bedrohungslage
Die Kombination aus NFC-Relais-Angriffen und SMS-Abfang stellt eine gefährliche Reifung der mobilen Bedrohungslandschaft dar. „Die Fähigkeit, eine physische Karte mit gestohlenen NFC-Daten zu emulieren, überbrückt die Lücke zwischen digitalem Kompromiss und physischem Diebstahl“, so Sicherheitsanalysten in Reaktion auf den Group-IB-Bericht.
Diese Entwicklung stellt Finanzinstitute vor einzigartige Herausforderungen. Während Banken viel in die Sicherung ihrer Online-Banking-Apps investiert haben, nutzt der NFC-Relais-Vektor das zugrundeliegende Zahlungsprotokoll selbst aus. Zugleich zeigt der anhaltende Erfolg von SMS-Ködern – wie den gefälschten Verkehrsstrafen –, dass Social Engineering der primäre Einstiegspunkt für diese technischen Exploits bleibt.
Die rasche Verbreitung dieser Tools auf Telegram und in Dark-Web-Foren deutet darauf hin, dass 2026 einen starken Anstieg „hybrider“ Angriffe erleben wird. Dabei werden Opfer gleichzeitig über digitale Banking-Kanäle und physische Zahlungs-Relais angegriffen.
Was Nutzer jetzt tun können
Experten erwarten, dass Google und andere Mobile-OS-Anbieter in den kommenden Monaten strengere Kontrollen für NFC-Berechtigungen und Accessibility Services einführen werden. Neue Sicherheitsfunktionen könnten eine explizite, biometrische Neuauthentifizierung für jede App verlangen, die auf NFC-Hardware oder SMS-Inhalte zugreifen möchte.
Die unmittelbare Aussicht bleibt jedoch volatil. Da „Ghost Tap“-Varianten bereits im Umlauf sind und erhebliche illegale Erträge generieren, raten Experten Verbrauchern:
* NFC deaktivieren, wenn es nicht benötigt wird.
* Jede Aufforderung einer App, „Ihre Karte anzutippen“, mit äußerster Skepsis zu behandeln.
* Apps ausschließlich über offizielle Stores wie den Google Play Store zu installieren.
Die Bankenbranche dürfte zudem den Abschied von SMS-OTPs hin zu hardwarebasierten Sicherheitsschlüsseln oder app-basierten Push-Genehmigungen beschleunigen, um das Abfangrisiko zu minimieren. Für Nutzer gilt: Vorsicht ist der beste Schutz.
PS: Wenn Sie Ihr Android‑Smartphone sicherer machen wollen, hilft unser Anti‑Phishing‑Paket mit konkreten Checklisten und Schritt‑für‑Schritt‑Anweisungen. Besonders nützlich sind die Hinweise, wie Sie Accessibility‑Berechtigungen prüfen, NFC deaktivieren und App‑Installationen sicher gestalten — genau die Empfehlungen, die Experten nach „Ghost Tap“ jetzt geben. Laden Sie den Gratis‑Guide und sichern Sie Ihr Gerät schnell gegen SMS‑Interceptoren und Relay‑Angriffe. Anti‑Phishing‑Paket kostenlos herunterladen
