Die Angreifer nutzen eine manipulierte Version der Bezahl-App HandyPay, um NFC-Daten von physischen Kreditkarten zu stehlen. Das Besondere: Die Täter setzen offenbar Künstliche Intelligenz ein, um ihren Schadcode zu verfeiner.
Trojanisierte Bezahl-App im Umlauf
Am 21. April entdeckten Analysten von ESET eine neue Variante der NGate-Malware. Sie steckt in einer modifizierten Version von HandyPay, einer mobilen Bezahllösung, die seit 2021 offiziell erhältlich ist. Die Kampagne zielt vor allem auf Android-Nutzer in Brasilien ab – mit perfiden Verteilmethoden.
Angesichts der raffinierten Methoden von Banking-Trojanern ist ein proaktiver Schutz des eigenen Smartphones für Nutzer mittlerweile unerlässlich. Dieser kostenlose PDF-Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv gegen Hacker und Viren absichern. So sichern Sie Ihr Android-Smartphone in wenigen Minuten ab
Die Täter locken ihre Opfer über zwei Wege in die Falle. Erstens: Eine gefälschte Website der brasilianischen Lotterie Rio de Prêmios verspricht Gewinne und leitet Besucher auf WhatsApp weiter. Dort erhalten sie einen Link zur Schad-App. Zweitens: Ein betrügerischer Google-Play-Eintrag für eine App namens Proteção Cartão gibt vor, Kreditkarten besonders zu schützen.
Installiert das Opfer die manipulierte HandyPay-App, fordert sie den Nutzer auf, sie als Standard-NFC-Bezahldienst festzulegen. Dann verlangt sie die Karten-PIN und die Anweisung, die physische Karte gegen die Rückseite des Smartphones zu halten. Die Forscher fanden im Code auffällig viele Emojis – ein typisches Merkmal von KI-generiertem Text. Das deutet darauf hin, dass die Entwickler generative KI nutzten, um die Malware zu optimieren.
NFC-Relay-Betrug wird immer raffinierter
Die NGate-Malware-Familie, erstmals im Sommer 2024 dokumentiert, hat sich rasant weiterentwickelt. Statt Open-Source-Relay-Tools verwenden die Täter nun maßgeschneiderten Code für blitzschnelle Datenübertragung. Die aktuelle Variante klont die NFC-Daten der Opferkarte und übermittelt sie an einen Server der Angreifer.
Die Analyse der Kommando-Infrastruktur zeigt: Die gestohlenen Daten werden in Echtzeit an ein Gerät des Täters weitergeleitet. So entsteht ein virtuelles Abbild der Karte. Damit können Angreifer kontaktlose Einkäufe tätigen oder an NFC-fähigen Geldautomaten Bargeld abheben. Da die Malware auch die PIN abgreift, umgehen die Täter die üblichen Beschränkungen für kleine Beträge.
Der Anstieg der NFC-Kriminalität folgt einem Trend aus dem Jahr 2025. Branchenweit verzeichneten Experten einen Anstieg von 87 Prozent bei NFC-Bedrohungen. Die Täter verlagern sich von klassischem Phishing auf Methoden, die Hardware-Daten abgreifen. Auch die Malware SuperCard X, die im Frühjahr entdeckt wurde, verwandelt kompromittierte Smartphones in „bösartige Tap-Geräte“.
Mobile Finanzangriffe nehmen weltweit zu
Die Entdeckung der neuen NGate-Variante fällt mit alarmierenden Branchenzahlen zusammen. Der Banking Heist Report 2026, Mitte April veröffentlicht, zeigt: Mobile Banking-Apps sind zum Hauptziel globaler Betrugsnetzwerke geworden.
Die Forscher identifizierten 2025 insgesamt 34 aktive Malware-Familien, die über 1.200 Finanzinstitute in 90 Ländern angriffen. Die Zahl der durch Android-Malware ausgelösten Finanztransaktionen stieg im Jahresvergleich um 67 Prozent. Die USA bleiben das Hauptziel – mit 162 aktuell angegriffenen Banking-Apps, ein deutlicher Anstieg gegenüber 109 vor drei Jahren.
Experten von Zimperium warnen: Die Schere zwischen Angreifern und Verteidigern öffnet sich. Moderne Banking-Trojaner beschränken sich nicht mehr auf Passwortdiebstahl, sondern übernehmen komplette Geräte. Familien wie Tsarbot, Copybara und Hook dominieren die Angriffslandschaft und sind für rund 60 Prozent der Attacken auf Finanz-Apps verantwortlich. Fast die Hälfte der analysierten Malware-Familien kann zudem als Ransomware fungieren und Dateien verschlüsseln, falls der Finanzbetrug scheitert.
KI-gesteuerte Bedrohungen auf dem Vormarsch
Der Einsatz generativer KI in der neuen NGate-Variante ist Teil eines wachsenden Trends. Bereits im Februar 2026 dokumentierten Forscher den ersten bekannten Fall von Android-Malware, die KI nutzt, um Bildschirmaktivitäten in Echtzeit zu analysieren. Diese Tools beobachten den Bildschirm des Opfers und greifen im genau richtigen Moment ein – wenn eine Transaktion gestartet wird.
Eine weitere Malware namens PixRevolution, entdeckt im März 2026, demonstriert diese Manipulation. Sie zielt auf die brasilianische Echtzeit-Zahlungsplattform Pix ab. Die Malware blendet ein gefälschtes „Warten“-Overlay ein, während sie im Hintergrund den Zahlungsempfänger austauscht. Das Opfer glaubt, die Transaktion laufe noch – doch das Geld fließt bereits auf das Konto der Angreifer.
Wer tägliche Erledigungen wie Online-Banking oder Shopping mobil erledigt, riskiert ohne die richtigen Sicherheitsvorkehrungen den Verlust sensibler Daten an Cyberkriminelle. Experten warnen vor den Gefahren durch manipulierte Apps und empfehlen fünf konkrete Maßnahmen, um Hackern den Zugriff zu verwehren. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Um ihre Schöpfungen zu schützen, setzen Entwickler zunehmend kommerzielle Code-Schutzpakete wie Virbox ein. Diese waren im mobilen Bereich bisher selten. Sie nutzen native Bibliotheken statt Standard-Java-Code, was die Erkennung und Dekompilierung durch Sicherheitssoftware erheblich erschwert.
Google reagiert mit neuen Schutzmaßnahmen
Angesichts der wachsenden Bedrohung hat Google neue Einschränkungen eingeführt. Android 17.2, das im Frühjahr erschien, verhindert die Installation von Apps, die die Bedienungshilfen-Funktion missbrauchen wollen – sofern der erweiterte Schutzmodus aktiviert ist.
Dieser Schritt zielt auf eine gängige Taktik von Banking-Trojanern wie Albiriox und Sturnus ab. Diese Programme nutzen die Accessibility-API, um Tastatureingaben abzugreifen, Zwei-Faktor-Authentifizierungscodes zu umgehen und sich ohne Nutzerinteraktion hohe Berechtigungen zu verschaffen. Besonders Sturnus ist berüchtigt dafür, verschlüsselte Nachrichten abzufangen, indem es den entschlüsselten Bildschirminhalt ausliest.
Doch trotz aller Verbesserungen auf Betriebssystem-Ebene bleibt der menschliche Faktor die größte Schwachstelle. Der Erfolg der NGate-Kampagne hängt davon ab, dass Nutzer Apps aus unbekannten Quellen installieren und ihnen NFC-Rechte gewähren. Solange Social Engineering mit KI-optimiertem Code Hand in Hand geht, bleibt das Risiko für mobile Bezahlnutzer auf historischem Höchststand.
