Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware NFCShare Android-Malware

NFCShare Android-Malware

Von Mezo in Mobile Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben neue Varianten der Android-Malware NFCShare entdeckt, die über gefälschte Updates für legitime Banking-Apps auf GitHub verbreitet werden. Die Bedrohung hat sich gegenüber früheren Versionen deutlich weiterentwickelt und zielt nun mit ausgeklügelten Phishing-Angriffen auf Kunden mehrerer Banken und Finanzinstitute in ganz Europa ab, um Zahlungskarteninformationen zu stehlen.

Wie NFCShare sensible Kartendaten stiehlt

Der Angriff nutzt Social-Engineering-Techniken, um Opfer zur Teilnahme an einem betrügerischen Verifizierungsprozess zu verleiten. Nutzer werden angewiesen, ihre Zahlungskarten in die Nähe des NFC-Chips (Near Field Communication) ihres Mobilgeräts zu halten. Dadurch kann die Schadsoftware über die IsoDep-Schnittstelle von Android und EMV-Befehle auf die Kartendaten zugreifen.

Nach der Aktivierung erfasst NFCShare wichtige Informationen, darunter:

  • Zahlungskartennummer
  • Kartentyp
  • Verfallsdatum
  • Vierstelliger PIN-Code, der vom Opfer im Rahmen eines gefälschten Sicherheitsverifizierungsprozesses eingegeben wurde

Die gestohlenen Informationen werden anschließend über einen WebSocket-Kommunikationskanal an die Kommando- und Kontrollinfrastruktur (C2) der Angreifer übermittelt. Diese Daten können dann für NFC-Zahlungs-Relay-Angriffe genutzt werden, ähnlich denen, die zuvor mit den Malware-Kampagnen NGate, SuperCard X und RelayNFC in Verbindung gebracht wurden.

Eine sich entwickelnde Bedrohung mit ausgeprägten Merkmalen

NFCShare wurde erstmals im Januar 2026 von Sicherheitsforschern dokumentiert, und die fortlaufende Überwachung hat eine kontinuierliche Weiterentwicklung und Verfeinerung der Malware ergeben. Obwohl die Bedrohung Verhaltensähnlichkeiten mit anderen Android-Malware-Familien aufweist, die NFC-Technologie ausnutzen, haben Forscher bemerkenswerte Unterschiede in der Codebasis, den Bibliotheken, der Architektur und den Implementierungsmethoden festgestellt.

Trotz dieser Unterschiede glauben Experten, dass NFCShare dennoch eine Weiterentwicklung desselben umfassenderen Ökosystems der Cyberkriminalität darstellen könnte und möglicherweise von denselben Bedrohungsakteuren betrieben wird, die auch für ähnliche Kampagnen verantwortlich sind.

Die Angriffskette beginnt mit Phishing-Seiten im Bankwesen.

Die seit dem 14. Mai beobachteten Angriffe folgen einer sorgfältig ausgearbeiteten Infektionskette. Opfer werden zunächst auf Phishing-Webseiten geleitet, die offizielle Bankportale imitieren und nach Online-Banking-Zugangsdaten fragen. Nach Eingabe dieser Daten werden die Nutzer aufgefordert, ein vermeintlich obligatorisches Update ihrer Banking-App zu installieren.

Die Opfer werden anschließend auf ein GitHub-Repository weitergeleitet, das schädliche Android-APK-Dateien enthält. Forscher weisen zudem darauf hin, dass SMS und Anrufe von Personen, die sich als Bankmitarbeiter ausgeben, möglicherweise in den Social-Engineering-Prozess eingebunden werden könnten, obwohl diese Techniken in NFCShare-Kampagnen bisher nicht direkt beobachtet wurden.

GitHub-Repository beherbergt Dutzende gefälschter Banking-Anträge

Das zur Verbreitung der Schadsoftware verwendete GitHub-Repository wurde am 10. April erstellt und enthält bereits 56 verschiedene schädliche APK-Dateien, die sich als Banking-Anwendungen ausgeben und vorwiegend Kunden in Italien und Spanien angreifen. Beispiele hierfür sind:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte und Mooney Carte
  • CaixaBank, CaixaBankNfc und CaixaReactivaTarjeta

Forscher berichteten zuvor, dass NFCShare im Januar 2026 ausschließlich Kunden der Deutschen Bank in Deutschland ins Visier genommen hatte. Die neuesten Erkenntnisse deuten darauf hin, dass die Betreiber der Malware ihren Zielbereich in ganz Europa deutlich ausgeweitet haben.

Verschleierungstechniken zur Erschwerung der Analyse

Eine der bemerkenswertesten Verbesserungen in den neuesten NFCShare-Varianten ist die Verwendung von Techniken zur Manipulation der APK-Verpackung, die darauf abzielen, die automatisierte Malware-Analyse zu stören und möglicherweise bestimmte Sicherheitstools zu beeinträchtigen.

Obwohl die APK-Dateien weiterhin Standard-ZIP-Archive sind, enthalten die neueren Versionen absichtlich fehlerhafte Dateipfade. Diese manipulierten Pfade können dazu führen, dass manche Extraktionswerkzeuge interne relative Pfade fälschlicherweise als tatsächliche Dateisystemadressen interpretieren, was zu Verarbeitungsfehlern und fehlgeschlagenen Analyseversuchen führt.

Diese Technik verhindert jedoch weder manuelle Untersuchungen noch die Wiederherstellung des Quellcodes. Vielmehr dient sie in erster Linie dazu, Arbeitsabläufe für die statische Analyse zu verkomplizieren und automatisierte Erkennungsmechanismen zu behindern.

Schutz vor NFCShare-Infektionen

Sicherheitsexperten raten Android-Nutzern, Banking-Apps ausschließlich aus vertrauenswürdigen und seriösen Quellen wie offiziellen App-Stores oder verifizierten Bankwebseiten herunterzuladen. Nutzer sollten zudem Vorsicht walten lassen bei unerwarteten Verifizierungsverfahren, insbesondere solchen, die NFC-Kartenscans oder andere ungewöhnliche Sicherheitsprüfungen erfordern, da dies auf den Versuch hindeuten kann, sensible Finanzdaten zu erlangen.

Im Trend

Am häufigsten gesehen

Wird geladen...