Ein raffinierter Angriff erschüttert die digitale Finanzwelt: Die Android-Malware NGate nutzt die NFC-Technologie in Smartphones, um Bankdaten in Echtzeit abzugreifen und sofort Geld am Automaten abzuheben. Was diese Betrugsmasche so gefährlich macht? Sie verwandelt das Handy des Opfers in eine digitale Diebeswaffe – während die Kriminellen kilometerweit entfernt am Geldautomaten stehen.

Das polnische Computer Emergency Response Team (CERT Polska) schlug am 3. November 2025 Alarm und lenkte damit erneut Aufmerksamkeit auf diese Bedrohung, die bereits im August 2024 von der Sicherheitsfirma ESET entdeckt wurde. Die Attacke markiert einen Wendepunkt: Erstmals schaffen es Cyberkriminelle, die eigentlich als sicher geltenden kontaktlosen Zahlungskarten in Echtzeit auszuhebeln.

So funktioniert die perfide Falle

Der Angriff beginnt nicht mit Technik, sondern mit Manipulation. Betrüger verschicken gefälschte SMS oder E-Mails, die angeblich von der Hausbank stammen. Die Nachricht warnt vor Sicherheitsproblemen und fordert das Opfer auf, eine "Sicherheits-App" über einen mitgelieferten Link zu installieren.

Anzeige

Passend zum Thema Android-Sicherheit: Viele Nutzer unterschätzen, wie leicht Schad‑Apps per Link installiert werden können – mit direkten Folgen für Online‑Banking und kontaktlose Zahlungen. Unser Gratis‑Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen speziell für Android: geprüftes App‑Verhalten, richtige NFC‑Einstellungen, sichere Banking‑Apps, Berechtigungen prüfen und regelmäßige Updates. Jede Maßnahme mit klarer Schritt‑für‑Schritt‑Anleitung, damit Sie Ihr Gerät sofort schützen. Ideal für alle, die Apps, mobiles Banking oder PayPal nutzen. Gratis Android-Sicherheits-Paket anfordern

Die Täter gehen methodisch vor: Nach der SMS folgt häufig ein Anruf eines vermeintlichen Bankmitarbeiters, der das Opfer Schritt für Schritt durch die Installation lotst. Die Glaubwürdigkeit? Perfekt inszeniert. Die App selbst? Niemals im offiziellen Google Play Store zu finden.

Nach der Installation fordert die Schadsoftware das Opfer auf, die Bankkarte zu "verifizieren". Dazu soll die physische Karte an die Rückseite des Smartphones gehalten und die PIN auf einer eingeblendeten Tastatur eingegeben werden. Genau in diesem Moment schnappt die Falle zu.

Echtzeit-Diebstahl dank NFC-Hijacking

Die technische Raffinesse von NGate übertrifft alles bisher Dagewesene. Anders als klassische Kartenleser, die lediglich statische Magnetstreifendaten kopieren, zielt NGate auf die dynamischen Sicherheitscodes moderner Karten ab.

Kontaktlose Karten generieren für jede Transaktion einen einmaligen Kryptogrammcode – eigentlich eine Sicherheitsfunktion gegen Wiedergabeangriffe. NGate umgeht diesen Schutz, indem die Malware im "Lesemodus" die gesamte NFC-Kommunikation abfängt: Kartennummer, Ablaufdatum, den frisch erzeugten Einmalcode und die eingegebene PIN.

Diese Daten werden sofort über ein spezielles TCP-Protokoll an einen Server der Kriminellen übermittelt. Ein Komplize, der bereits am Geldautomaten wartet, empfängt die Informationen auf einem zweiten Gerät, das als Zahlungskarte fungiert. Da die gestohlenen Daten nur für Sekunden gültig sind, erfolgt die Abhebung umgehend – ein Wettlauf gegen die Zeit, der Schutzmaßnahmen nahezu chancenlos macht.

Von der Phishing-SMS zum Live-Banking-Trojaner

NGate, manchmal auch NFSkate genannt, repräsentiert einen gefährlichen Evolutionssprung. Während ältere Android-Banking-Trojaner vor allem mit gefälschten Login-Masken arbeiteten, kann diese Malware aktive NFC-Verbindungen in Echtzeit weiterleiten.

ESET-Forscher dokumentierten die Schadsoftware erstmals im August 2024. Die Hintermänner operierten bereits seit November 2023 in Tschechien, zunächst mit simpleren Phishing-Methoden. Die jüngste Analyse von CERT Polska enthüllte Details zur technischen Architektur: NGate registriert sich als Host Card Emulation (HCE) Service und kann dadurch als virtuelle Karte agieren.

Diese Doppelfunktion – Lesegerät auf dem Opfer-Smartphone, Sender auf dem Täter-Gerät – ermöglicht den kompletten Relay-Angriff von Ende zu Ende. Die von CERT Polska beobachteten Kampagnen konzentrierten sich hauptsächlich auf Kunden polnischer Banken, was die gezielte und regionale Natur dieser Attacken unterstreicht.

Was kommt als Nächstes?

NGate offenbart eine wachsende Schwachstelle im mobilen Zahlungsverkehr: Die Bequemlichkeit der NFC-Technologie wird zur Waffe. Zwar erfordert der Erfolg der Operation perfektes Timing zwischen der Manipulation des Opfers und dem Komplizen am Geldautomaten – eine logistische Herausforderung, die die Skalierbarkeit begrenzt. Die Gefahr bleibt dennoch erheblich.

Sicherheitsexperten mahnen zu strikten Vorsichtsmaßnahmen: Niemals Banking- oder Sicherheits-Apps über Links aus SMS oder E-Mails installieren. Keine Bank wird jemals verlangen, dass Kunden ihre Karte ans Handy halten und die PIN in einer frisch installierten App eingeben. Jede unaufgeforderte Nachricht mit Dringlichkeitsappell sollte grundsätzlich misstrauisch machen.

Für Banken liegt die Herausforderung in der Entwicklung verbesserter Verhaltensanalysen und Echtzeit-Überwachungssysteme, die abnormale Transaktionsmuster durch NFC-Relay-Betrug erkennen können. Denn klar ist: NGate dürfte nicht die letzte Evolutionsstufe dieser Betrugsmethode sein.

Anzeige

PS: Diese fünf Maßnahmen machen Ihr Android-Smartphone spürbar sicherer – Tipp 3 schließt eine oft übersehene Lücke, die Relay‑Angriffe wie NGate erschwert. Der kostenlose Ratgeber enthält kompakte Checklisten, einfache Kontrollschritte für App‑Berechtigungen und eine Anleitung, wie Sie NFC‑Funktionen sicher konfigurieren. Setzen Sie die Schritte direkt um, damit Ihre Bankdaten nicht unbemerkt ausgelesen werden können. Jetzt das Android-Sicherheits‑Paket herunterladen