NFC-Angriffe: 188% Anstieg auf Android – 35.600 Fälle 2026

Sicherheitsforscher verzeichnen einen Anstieg um 188 Prozent im Vergleich zum Vorjahr.

Allein zwischen Januar und April 2026 haben Sicherheitssysteme 35.600 solcher Angriffe blockiert. Im gleichen Zeitraum 2025 waren es noch 12.300 Fälle, wie Daten von Kaspersky zeigen. Die Angreifer nutzen dabei zunehmend raffinierte Methoden, um an Zahlungsdaten zu gelangen.

Spezialisierte Malware im Umlauf

Anzeige: Die Zahl der NFC-Angriffe auf Android ist um 188% gestiegen – allein 35.600 Fälle seit Januar. Mit einer einfachen Checkliste können Sie Ihr Gerät in 5 Minuten absichern. Jetzt kostenlosen Schutz-Report anfordern

Im Zentrum der Bedrohung stehen spezielle Schadsoftware-Familien, die mobile Bezahlprotokolle aushebeln. Experten haben mehrere Werkzeuge identifiziert: SuperCard X, PhantomCard, NGate und NFCGate. Besonders gefährlich ist SuperCard X – ein chinesischsprachiger Malware-as-a-Service-Dienst, der zuletzt den Finanzsektor in Italien attackierte.

Die Täter kombinieren SMS-Phishing, betrügerische Anrufe und das Abfangen von NFC-Daten. So führen sie unbefugte Transaktionen an Kassenterminals und Geldautomaten durch.

Zwei Hauptmethoden kommen zum Einsatz:
- Direct-NFC: Das Angreifer-Gerät fängt Daten einer physischen Karte ab, die in die Nähe eines Smartphones gehalten wird
- Reverse-NFC: Eine Schad-App wird zur Standard-Zahlungsmethode auf dem Opfer-Gerät – der Angreifer autorisiert Zahlungen ohne Wissen des Nutzers

Eine weitere Gefahr heißt DevilNFC. Diese Malware versetzt das Handy in einen sogenannten „Kiosk-Modus" und sperrt den Bildschirm, während im Hintergrund betrügerische Transaktionen laufen.

Millionenschäden in Deutschland

Die finanziellen Folgen sind bereits jetzt enorm. Ende Mai 2026 – konkret zwischen dem 22. und 26. Mai – erschütterte eine Welle von Smishing-Angriffen (SMS-Phishing) die Stadt Hamm in Nordrhein-Westfalen. Die Opfer erlitten Schäden von über 10.000 Euro pro Fall. Betroffen waren unter anderem Kunden von American Express und der Spadaka Bockum-Hövel.

Die Täter verschickten gefälschte Nachrichten zur angeblichen Reaktivierung der PhotoTAN-Sicherheitsfunktion. Wer darauf hereinfiel, gab seine Zugangsdaten preis.

Auch der etablierte Banking-Trojaner BTMOB bleibt eine Gefahr. Seit Februar 2025 wird er als Dienstleistung für umgerechnet rund 650 Euro pro Monat angeboten. Er zeichnet Tastatureingaben auf, macht Screenshots und entsperrt Geräte, um an Daten zu gelangen.

Behörden schlagen Alarm

Die Bedrohungslage hat internationale Reaktionen ausgelöst. Die Europäische Zentralbank berief eine Krisensitzung mit Vertretern von 111 großen Kreditinstituten ein. Ziel war es, die wachsenden Risiken zu adressieren.

Auf der Strafverfolgungsebene führte die Operation FRONTIER+ III zu 3.000 Festnahmen und der Sicherstellung von umgerechnet rund 700 Millionen Euro. In Indien zerschlug die Polizei in Noida am 28. Mai eine „Digital Arrest"-Bande, die sich als Ermittler ausgab und 2,3 Millionen Euro erpresst hatte.

Google reagierte technisch: Der Konzern führte Device Bound Session Credentials (DBSC) für Chrome ein, um Cookie-Diebstahl zu erschweren. Zudem startete am 28. Mai eine KI-gestützte Bedrohungsabwehr-Plattform.

Doch es bleiben Schwachstellen auf Hardware-Ebene. Eine nicht patchbare Sicherheitslücke im Qualcomm BootROM (CVE-2026-25262) betrifft Millionen Geräte.

WM 2026 als Angriffsziel

Sicherheitsexperten warnen vor der Fußball-Weltmeisterschaft 2026 als Magneten für Cyberkriminelle. Bitdefender Labs hat bereits über 55 aktive betrügerische Kampagnen in sozialen Medien identifiziert, die Fußball-Themen nutzen, um Schad-Apps zu verbreiten.

Palo Alto Networks erwartet eine Mischung aus finanziell motivierten und politisch gesteuerten Angriffen. Zum Vergleich: Während der WM 2022 in Katar wurden über 16.000 betrügerische Domains registriert.

Anzeige: Smishing-Welle mit Schäden über 10.000 Euro pro Fall – und eine nicht patchbare Qualcomm-Lücke gefährdet Millionen Geräte. Erfahren Sie, wie Sie Angriffe erkennen und abwehren. Smishing-Schutz-Guide jetzt sichern

Auch die Spielebranche dient als Einfallstor. Nach der Ankündigung von GTA 6 für den 19. November 2026 häufen sich gefälschte Beta-Versionen und Android-APKs, die Malware verbreiten.

Gerichtsurteil mit Signalwirkung

Für Betrugsopfer gibt es rechtliche Hürden. Das Finanzgericht Münster entschied am 29. Mai 2026: Verluste durch betrügerische „Schockanrufe" können steuerlich nicht als außergewöhnliche Belastung geltend gemacht werden. Das Gericht ließ jedoch eine Revision zu – der Fall könnte also vor den Bundesfinanzhof gehen.

de | wirtschaft | 69451363 |