NFC‑Banking‑Angriffe auf Android: 188 % Anstieg wirft Sicherheitslücken offen

LGR Reutlingen – 02 Juni 2026 | Die aktuelle Meldung, dass NFC–Banking-Angriffe Android-Attacken um 188 gestiegen sind, lässt sowohl Sicherheitsexperten als auch Verbraucher alarmiert zurück. Laut den neuesten Zahlen von Kaspersky wurden im Zeitraum von Januar bis April 2026 rund 35.600 Versuche blockiert – ein Anstieg, der das vergangene Jahr bei etwa 12.300 Angriffen weit hinter sich lässt.

Der Boom lässt sich nicht allein auf ein einzelnes Malware‑Modul zurückführen. Vielmehr kombiniert ein heterogenes Ökosystem aus Relay‑Angriffen, manipulierten NFC‑Modulen und automatisierten Abonnement‑Fallen, um über die Mobilfunkrechnung Geld von den Opfern zu siphonieren. Die Angriffe zielen gezielt auf Android‑Geräte, weil das Betriebssystem dank seiner Offenheit und der weiten Verbreitung ein attraktives Einfallstor darstellt.

NFC-Banking-Angriffe Android-Attacken um 188 gestiegen – Was steckt hinter den Zahlen?

Der Begriff NFC-Banking-Angriffe fasst verschiedene Techniken zusammen, bei denen das Near‑Field‑Communication‑Interface (NFC) als Brücke zwischen dem Smartphone und den Bankdiensten missbraucht wird. Während früher vor allem klassische Phishing‑Methoden dominierten, nutzen Kriminelle heute das NFC‑Modul, um PINs direkt auszulesen oder Transaktionen über sogenannte Relay‑Server weiterzuleiten.

Ein besonders perfider Ansatz ist das Abschalten des WLANs und das Erzwingen einer Datenübertragung über das Mobilfunknetz. Dadurch können Angreifer die Carrier‑Billing‑Systeme ausnutzen und kostenpflichtige Premium‑Dienste über die Handyrechnung aktivieren, ohne dass der Nutzer aktiv zustimmt. Die Malware greift dabei häufig auf Einmal‑Passwörter (OTPs) zu, die per SMS gesendet werden, und bestätigt so die Zahlung automatisch.

Verbreitete Schadsoftware‑Familien

Zu den bekanntesten Malware‑Familien, die im Rahmen dieser Angriffe aktiv sind, gehören SuperCard X, PhantomCard und NGate. Jede Variante hat ihre eigenen Besonderheiten:

• SuperCard X nutzt eine Kombination aus NFC‑Relay und Key‑Logging, um sowohl Kartendaten als auch Eingaben in Banking‑Apps zu erfassen.
• PhantomCard setzt auf eine verzögerte Aktivierung, um Sicherheits‑ und Antiviren‑Tools zu umgehen. Erst nach einer definierten Wartezeit wird die eigentliche Payload ausgelöst.
• NGate ist besonders aggressiv: Sie stiehlt nicht nur OTPs, sondern leitet zudem gesammelte Gerätedaten über verschlüsselte Telegram‑Kanäle an die Angreifer weiter.

Die meisten dieser Varianten tarnen sich als beliebte Apps – von TikTok über Minecraft bis hin zum Facebook Messenger. Sobald ein Nutzer die manipulierte Anwendung installiert, wird im Hintergrund eine Kette automatisierter Schritte eingeleitet, die zu ungewollten Abbuchungen führen.

Ein weiterer Trend ist die Nutzung von Accessibility‑Services, wie sie vom Trojaner OverlayPhantom ausgenutzt werden. Der Trojaner legt gefälschte Eingabemasken über legitime Banking‑ und Krypto‑Apps, sodass Nutzer unwissentlich ihre Zugangsdaten preisgeben.

Regionale Unterschiede zeigen, dass nicht nur Europa, sondern auch Brasilien und Russland von eigenständigen Malware‑Varianten betroffen sind. In Brasilien verbreiten Hacker gefälschte Google‑Play‑Seiten, um Krypto‑Miner‑Programme zu installieren, während der russische Trojaner ClayRat als WhatsApp‑ oder Google‑Photos‑App getarnt, Anruflisten und SMS ausliest.

Die Konsequenzen reichen von finanziellen Verlusten bis hin zu langfristigen Identitätsdiebstählen. Für Unternehmen im FinTech‑Sektor bedeutet dies ein erhöhtes Risiko von Reputationsschäden und regulatorischen Sanktionen, wenn Kundendaten kompromittiert werden.

Reaktionen von Behörden und Industrie

Die internationale Zusammenarbeit hat bereits erste Erfolge erzielt. Am 28. Mai 2026 zerschlugen die niederländische Polizei und das National Cyber Security Centre (NCSC) ein Botnetz mit 17 Millionen infizierten Geräten, das unter anderem für Phishing‑ und DDoS‑Angriffe genutzt wurde. Durch die Beschlagnahmung von 200 Servern in den Niederlanden konnte ein erheblicher Teil der Infrastruktur deaktiviert werden.

Gleichzeitig arbeiten Mobilfunkanbieter an strengeren Carrier‑Billing‑Kontrollen. Einige Unternehmen führen jetzt mehrstufige Authentifizierungsprozesse ein, bei denen der Nutzer per App‑Bestätigung zusätzlich zum OTP seine Zustimmung geben muss.

Auf Seiten der Hersteller liegt der Fokus auf sichereren NFC‑Stacks. Google hat bereits angekündigt, die NFC‑API in kommenden Android‑Versionen zu härten und Entwickler zu verpflichten, explizite Berechtigungen für den Zugriff auf das NFC‑Modul zu deklarieren.

Praktische Schutzmaßnahmen für Endnutzer

Für Verbraucher gelten nach wie vor bewährte Grundregeln:

1. Nur Apps aus dem offiziellen Google‑Play‑Store installieren und die Entwicklerinformationen prüfen.
2. Regelmäßig das Betriebssystem und installierte Anwendungen aktualisieren – veraltete Versionen sind ein beliebtes Einfallstor.
3. NFC bei Nichtgebrauch deaktivieren; viele Smartphones ermöglichen das Abschalten im Schnellmenü.
4. Carrier‑Billing‑Abonnements im Nutzerkonto des Mobilfunkanbieters prüfen und nicht autorisierte Services sofort kündigen.
5. Für Banking‑Transaktionen die Nutzung von Hardware‑Token oder Biometrie aktivieren, um OTP‑Abfangversuche zu vereiteln.

Unternehmen sollten zudem ein Zero‑Trust‑Modell für mobile Endpunkte einführen und regelmäßige Pen‑Tests durchführen, um potenzielle Schwachstellen im NFC‑Workflow zu identifizieren.

Die Zahlen zeigen eindeutig, dass NFC-Banking-Angriffe Android-Attacken um 188 gestiegen sind – ein Trend, der nicht nur die technische Community, sondern auch Gesetzgeber und Verbraucher gleichermaßen herausfordert. Angesichts der zunehmenden Verknüpfung von Mobilfunk‑ und Banking‑Infrastruktur wird die Notwendigkeit von ganzheitlichen Sicherheitsstrategien weiter steigen.