Sicherheitsforscher haben eine neue Android-Bedrohung entdeckt: Die Malware „NGate“ greift kontaktlose Zahlungsdaten direkt über die NFC-Schnittstelle ab.
So funktioniert der NFC-Relay-Angriff
Die von ESET identifizierte Schadsoftware wird über eine manipulierte Version der legitimen App „HandyPay“ verbreitet. Die Täter locken Opfer mit gefälschten Websites von Play-Stores oder Lotterie-Plattformen zur Installation.
Einmal aktiv, unterscheidet sich NGate grundlegend von klassischen Banking-Trojanern. Statt nur Anmeldedaten zu stehlen, fungiert die Malware als Relay: Hält das Opfer seine Zahlungskarte ans infizierte Smartphone, werden die Kartendaten abgefangen und in Echtzeit an die Angreifer weitergeleitet. Diese können damit kontaktlos Geld abheben oder an PoS-Terminals zahlen.
Angesichts immer raffinierterer Angriffe auf Finanzdaten ist ein grundlegender Schutz für jedes Smartphone unverzichtbar. IT-Experten empfehlen genau diese fünf Maßnahmen, um Online-Banking und Apps wie PayPal endlich sicher zu nutzen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Eine aktive Kampagne zielte seit November 2025 vor allem auf Nutzer in Brasilien. Besonders alarmierend: Teile des Schadcodes zeigen Anzeichen für die Erstellung durch generative KI.
Banking-Trojaner überschwemmen den Play Store
Doch NGate ist nicht die einzige Gefahr. Zimperium entdeckte vier neue Android-Banking-Trojaner namens RecruitRat, SaferRat, Astrinox und Massiv. Sie haben es auf über 800 Finanz- und Krypto-Apps abgesehen. Die Verbreitung läuft über gefälschte Jobportale oder manipulierte Streaming-Dienste.
Die Trojaner ermöglichen Fernsteuerung des Geräts, setzen Phishing-Overlays ein und umgehen die Zwei-Faktor-Authentifizierung.
Parallel fand McAfee die Malware-Familie „NoVoice“ in 50 Apps im offiziellen Play Store – trotz Sicherheitskontrollen wurden sie über 2,3 Millionen Mal heruntergeladen. NoVoice bleibt zunächst inaktiv, um Entdeckung zu vermeiden, und versucht später Root-Zugriff zu erlangen. Ziel: Daten aus WhatsApp und Banking-Apps stehlen. Google hat die Apps inzwischen entfernt.
Kritische Lücken in der Hardware
Die Bedrohung geht tiefer. Kaspersky-Forscher präsentierten auf der Black Hat Asia 2026 Details zur Schwachstelle CVE-2026-25262 in Qualcomm Snapdragon-Chipsätzen. Der Fehler im BootROM betrifft unter anderem die Serien MDM9x07, MSM8909 und SDX50.
Mit physischem Zugriff können Angreifer die gesamte Sicherheitskette kompromittieren und volle Kontrolle über Kamera, Mikrofon und Daten erlangen. Ein normaler Neustart reicht nicht – das Gerät müsste komplett von der Stromversorgung getrennt werden.
Auch Bitwarden traf es: Am 22. April wurde das CLI-Tool in Version 2026.4.0 Opfer eines Supply-Chain-Angriffs. Über das npm-Repository verbreiteten Angreifer 93 Minuten lang Malware, die API-Tokens und SSH-Keys stahl. Die eigentlichen Tresordaten blieben unberührt, Nutzer sollten aber auf Version 2026.4.1 aktualisieren.
Apple schließt Datenleck in Benachrichtigungen
Mit iOS 26.4.2 und iPadOS 26.4.2 stopfte Apple die Lücke CVE-2026-28950. Der Fehler im Notification Services Framework führte dazu, dass Nachrichtenfragmente – etwa von Signal – in einer internen Datenbank blieben, selbst nach Löschen der App. Forensische Tools konnten diese Daten auslesen. Apple betont: Der Fix bereinigt auch bereits vorhandene Restdaten.
Um die Privatsphäre auf dem iPhone dauerhaft zu wahren, sind regelmäßige Aktualisierungen und die richtigen Einstellungen entscheidend. Dieser kostenlose Ratgeber zeigt Schritt für Schritt, wie Sie Updates sicher installieren und Ihre Daten wirksam schützen. iOS-Ratgeber für Einsteiger kostenlos anfordern
Schutzmaßnahmen für den Alltag
Angesichts der vielfältigen Angriffe raten Experten zu einer mehrschichtigen Verteidigung:
- NFC deaktivieren, wenn nicht in Gebrauch
- Apps nur aus verifizierten Quellen installieren, kein Side-Loading
- Updates sofort einspielen, besonders bei Sicherheitslücken
- Physische Sicherheit der Geräte in sensiblen Umgebungen gewährleisten
Die Integration von KI in Schadcode lässt befürchten, dass Angriffe auf mobile Infrastruktur weiter zunehmen. Google reagiert mit der Credential Manager API, die Verifizierungsprozesse vereinfacht und die Abhängigkeit von anfälligen Einmalpasswörtern verringert.
