NFC: Ausgeklügelte Android-Malware klaut Geld von Bankkunden
Sicherheitsforscher haben eine neue Android-Schadsoftware entdeckt, die gezielt Bankkunden ins Visier nimmt. Der Trojaner mit dem Namen PhantomCard nutzt die Nahfeldkommunikation (NFC), um sogenannte Relay-Angriffe durchzuführen.
Nach der Installation fordert die App die Nutzer auf, ihre Kredit- oder Debitkarte an die Rückseite des Smartphones zu halten, angeblich zur Authentifizierung. In Wahrheit werden die Kartendaten in Echtzeit an einen Server des Angreifers weitergeleitet. Zusätzlich bittet die App um die Eingabe der PIN - wodurch Kriminelle die Karte an einem beliebigen NFC-fähigen Kassenterminal oder Geldautomaten so nutzen können, als hätten sie diese physisch in der Hand.
ThreatFabric berichtet, dass es eine zweite App gibt, die auf den Geräten sogenannter "Money Mules" installiert wird. Diese empfängt die gestohlenen Kartendaten und leitet sie an das jeweilige Terminal weiter. Aktuell wurde die Malware vor allem in Brasilien in freier Wildbahn beobachtet. Dahinter steht offenbar ein bekannter Entwickler, der schon andere Android-Bedrohungen wie BTMOB und GhostSpy an kriminelle Akteure verkauft hat.
Die Enthüllung von PhantomCard verdeutlicht einmal mehr, wie internationale Malware-Dienste regional neue Angriffsmöglichkeiten schaffen, die genau auf die dortigen Sicherheits-Architekturen abgestimmt sind. Sicherheitsexperten warnen, dass Finanzinstitute weltweit ihre Überwachung auf solche global agierenden Bedrohungen ausweiten müssen, um rechtzeitig Gegenmaßnahmen ergreifen zu können.
Siehe auch:
Nutzer werden fehlgelockt
Entwickelt wurde die Schadsoftware offenbar auf Basis eines in China angebotenen "Malware-as-a-Service"-Dienstes namens NFU Pay, der auf Telegram beworben wird. Laut des niederländischen Sicherheitsunternehmen ThreatFabric wird PhantomCard über gefälschte Google-Play-Webseiten verbreitet, die angebliche Apps zum Schutz von Zahlungskarten anbieten. Diese Seiten enthalten gefälschte positive Bewertungen, um potenzielle Opfer zur Installation zu verleiten. Vermutlich erfolgt die Verbreitung über SMS-Phishing oder ähnliche Sozial-Engineering-Methoden.Nach der Installation fordert die App die Nutzer auf, ihre Kredit- oder Debitkarte an die Rückseite des Smartphones zu halten, angeblich zur Authentifizierung. In Wahrheit werden die Kartendaten in Echtzeit an einen Server des Angreifers weitergeleitet. Zusätzlich bittet die App um die Eingabe der PIN - wodurch Kriminelle die Karte an einem beliebigen NFC-fähigen Kassenterminal oder Geldautomaten so nutzen können, als hätten sie diese physisch in der Hand.
ThreatFabric berichtet, dass es eine zweite App gibt, die auf den Geräten sogenannter "Money Mules" installiert wird. Diese empfängt die gestohlenen Kartendaten und leitet sie an das jeweilige Terminal weiter. Aktuell wurde die Malware vor allem in Brasilien in freier Wildbahn beobachtet. Dahinter steht offenbar ein bekannter Entwickler, der schon andere Android-Bedrohungen wie BTMOB und GhostSpy an kriminelle Akteure verkauft hat.
Ein wachsendes Problem
NFC-Relay-Angriffe stellen nicht nur in Brasilien ein wachsendes Problem dar. In Südostasien, insbesondere auf den Philippinen, nutzen Cyberkriminelle ähnliche Werkzeuge wie SuperCard X, KingNFC oder Z-NFC, um gestohlene Kartendaten zu klonen und unbemerkt Transaktionen durchzuführen. In Regionen, in denen kontaktlose Zahlungen zunehmen und kleinere Beträge oft ohne PIN-Abfrage genehmigt werden, sind solche Angriffe besonders schwer zu erkennen.Die Enthüllung von PhantomCard verdeutlicht einmal mehr, wie internationale Malware-Dienste regional neue Angriffsmöglichkeiten schaffen, die genau auf die dortigen Sicherheits-Architekturen abgestimmt sind. Sicherheitsexperten warnen, dass Finanzinstitute weltweit ihre Überwachung auf solche global agierenden Bedrohungen ausweiten müssen, um rechtzeitig Gegenmaßnahmen ergreifen zu können.
Zusammenfassung
- PhantomCard nutzt NFC-Technik für Relay-Angriffe auf Bankkunden
- Verbreitung über gefälschte Google-Play-Seiten mit fingierten Bewertungen
- Malware leitet Kartendaten und PIN in Echtzeit an Angreifer-Server weiter
- Money Mules empfangen gestohlene Daten und leiten sie an Terminals weiter
- Hauptsächlich in Brasilien aktiv, entwickelt vom Schöpfer von BTMOB und GhostSpy
- Ähnliche Angriffe in Südostasien mit Tools wie SuperCard X oder KingNFC
- Internationale Malware-Dienste schaffen regional angepasste Bedrohungen
Siehe auch:
Thema:
Das Google Pixel 8 im Preisvergleich
Hy-commerce NEU 
Expert.de 
TechnikDirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
-
Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
-
Magcubic HY310: Billiger Beamer versagt im Test bei Bild und Ton
-
Mobiler Beamer oder XR-Brille? - Test zeigt deutlichen Sieger
-
Magcubic HY300F: Ballförmiger Beamer ist für den WM-Spaß ungeeignet
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
Videos
Neueste Downloads
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen