Sicherheitsforscher schlagen Alarm: Cyberkriminelle nutzen gezielt die NFC-Schnittstelle von Smartphones für Betrug bei kontaktlosen Zahlungen. Besonders Android-Nutzer sind im Visier.
Die Angreifer setzen auf spezialisierte Malware, die Bezahlvorgänge manipuliert. Das belegen aktuelle Berichte von Sicherheitsdienstleistern. Im Zentrum der Bedrohung steht die sogenannte Host Card Emulation (HCE).
Wie die Angreifer vorgehen
Anzeige: Die Zahl der NFC-Angriffe ist in Deutschland um 188 Prozent gestiegen – und Google schließt 124 Sicherheitslücken. Doch der beste Schutz beginnt bei Ihnen: Deaktivieren Sie drahtlose Schnittstellen bei Nichtgebrauch und richten Sie Passkeys ein. Unsere Checkliste zeigt Ihnen in 3 Schritten, wie Sie Ihr Smartphone absichern. Kostenlose Sicherheits-Checkliste anfordern
HCE erlaubt Android-Geräten, eine physische Kreditkarte zu emulieren. Genau diese Funktion nutzen Kriminelle aus. Seit Frühjahr 2024 identifizierten die Experten von Zimperium zLabs über 760 bösartige Apps. Sie sind darauf ausgelegt, NFC-Daten abzugreifen und für betrügerische „Tap-to-Pay“-Transaktionen zu verwenden.
Die Hintermänner betreiben eine umfangreiche Infrastruktur. Dazu gehören mehr als 70 Command-and-Control-Server und zahlreiche automatisierte Kanäle in Messenger-Diensten. Sie imitieren die Anwendungen von über 20 Finanzinstituten weltweit – unter anderem in Brasilien, Tschechien, Polen und der Slowakei.
In Deutschland explodieren die Zahlen regelrecht: In den ersten vier Monaten des Jahres 2026 stiegen NFC-Relay-Angriffe um 188 Prozent. Die Schadsoftware arbeitet oft im Hintergrund und leitet Zahlungsdaten in Echtzeit an die Geräte der Angreifer weiter. Die können dann auf Kosten ihrer Opfer einkaufen.
Google schließt 124 Sicherheitslücken
Als Reaktion auf die verschärfte Bedrohungslage veröffentlichte Google Anfang Juni 2026 ein umfassendes Sicherheitsupdate. Der Patch schließt insgesamt 124 Sicherheitslücken. Besonders kritisch: die Schwachstelle CVE-2025-48595.
Dabei handelt es sich um einen Integer-Overflow im Android Framework. Er ermöglicht eine Ausweitung von Nutzerrechten. Die US-Sicherheitsbehörde CISA bestätigt, dass die Lücke bereits aktiv ausgenutzt wird. Betroffen sind die Android-Versionen 14 bis 16.
Google führt zudem neue Schutzfunktionen ein. Eine KI-gestützte Erkennung soll künftig Warnungen bei gefälschten Anrufen ausgeben. Über den RCS-Standard prüft das System, ob ein Anruf tatsächlich von einem verifizierten Gerät stammt. Die Funktion kommt zunächst für Pixel-Smartphones, später für weitere Geräte ab Android 12.
Hohe Schäden durch Messenger-Betrug
Die Dringlichkeit besserer Sicherheitsmaßnahmen zeigt sich in aktuellen Statistiken. Bei Messenger-Betrug liegt der durchschnittliche Schaden pro Fall in Deutschland bei 1.180 Euro. Das ist fast doppelt so viel wie der globale Durchschnitt von rund 630 Euro.
Ein entscheidender Faktor: der Zeitdruck. Knapp 44 Prozent der Betroffenen überweisen die geforderten Beträge innerhalb von nur 30 Minuten. Das macht effektive Gegenmaßnahmen nahezu unmöglich.
Auch Reisende sind besonders gefährdet. Eine Untersuchung von Kaspersky an WM-Spielorten in Mexiko ergab: Rund 17 Prozent der öffentlichen WLAN-Signale haben keine oder nur unzureichende Verschlüsselung. McAfee-Forscher berichten, dass 87 Prozent der deutschen Reisenden öffentliche Netzwerke nutzen – obwohl fast jeder Zweite bereits Erfahrungen mit Reisebetrug gemacht hat.
Anzeige: Fast jeder zweite Deutsche hat schon Reisebetrug erlebt – und 87 Prozent nutzen trotzdem öffentliche WLANs. Mit unserer Schritt-für-Schritt-Anleitung richten Sie Passkeys ein und erkennen NFC-Malware an 5 Warnsignalen. So bleiben Ihre Zahlungsdaten sicher – auch unterwegs. Passkeys & Warnsignale – jetzt Leitfaden sichern
Was Nutzer jetzt tun sollten
Branchenexperten raten zu einfachen, aber wirkungsvollen Maßnahmen: Drahtlose Schnittstellen wie NFC, WLAN und Bluetooth bei Nichtgebrauch deaktivieren. Und verstärkt auf moderne Authentifizierungsmethoden setzen.
Passkeys gewinnen dabei an Bedeutung. Laut Umfragen des eco-Verbands nutzen bereits 41 Prozent der 18- bis 29-Jährigen passwortlose Log-in-Verfahren. Ein guter Anfang – aber noch lange nicht die Regel.
