Neue Varianten der **NFCShare** Android-Malware verbreiten sich über gefälschte Updates für legitime Banking-Anwendungen, die hauptsächlich auf **GitHub** gehostet werden. Diese sich entwickelnde Bedrohung zielt nun auf Kunden zahlreicher Banken und Finanzinstitute in ganz Europa ab und nutzt eine ausgeklügelte Phishing-Kampagne, um Zahlungskartendaten zu stehlen. ### So entfaltet sich der Angriff Der Angriff beginnt typischerweise damit, dass Opfer auf eine Phishing-Seite stoßen, die eine echte Bank imitiert und sie auffordert, ihre Bankdaten einzugeben. Anschließend werden die Benutzer aufgefordert, ihre Banking-App zu aktualisieren, und werden dann zu einem **GitHub**-Repository weitergeleitet, das eine bösartige APK-Datei enthält. Obwohl die **D3Lab**-Forscher, die die Aktivitäten von **NFCShare** seit Januar 2026 verfolgen, diese Methoden bei den neuesten Angriffen nicht direkt beobachtet haben, haben ähnliche Kampagnen oft SMS-Nachrichten oder Anrufe von gefälschten Bankvertretern als Teil des Social-Engineering-Prozesses beinhaltet. ### Technische Details zum Datendiebstahl Nach der Installation täuscht die Malware die Opfer mit einem gefälschten Verifizierungsbildschirm, der sie anweist, ihre Zahlungskarten in die Nähe des Near-Field-Communication (NFC)-Chips des Mobilgeräts zu halten. **NFCShare** nutzt dann die **IsoDep**-Schnittstelle und **EMV**-Befehle von Android, um die Karteninformationen auszulesen.  Die Malware stiehlt systematisch die Kartennummer, den Kartentyp, das Ablaufdatum und eine 4-stellige PIN, die das Opfer im Rahmen eines Sicherheitsschritts eingeben muss. Diese sensiblen Daten werden dann über einen WebSocket-Kanal an den Command-and-Control (C2)-Host des Angreifers exfiltriert. Die gestohlenen Informationen können anschließend in NFC-Zahlungsweiterleitungsschemata missbraucht werden, eine Technik, die auch bei Malware wie **NGate**, **SuperCard X** und **RelayNFC** beobachtet wurde. ### Erweiterte Reichweite und Umgehungstaktiken Aktuelle **NFCShare**-Angriffe, die seit dem 14. Mai beobachtet wurden, unterstreichen die erweiterte Zielreichweite der Malware. Das am 10. April erstellte **GitHub**-Repository hat 56 eindeutige APKs gehostet, die mobile Apps verschiedener Banken, hauptsächlich aus Italien und Spanien, nachahmen. Dazu gehören **Intesa Carte**, **Sella Carte**, **Banca Sella Carte**, **Nexi Carte**, **Fideuram Carte**, **Mooney Carte**, **CaixaBank**, **CaixaBankNfc** und **CaixaReactivaTarjeta**.  Zuvor, im Januar, berichtete **D3Lab**, dass die Malware ausschließlich die **Deutsche Bank** in Deutschland ins Visier genommen hatte, was auf eine signifikante Ausweitung ihres geografischen und institutionellen Fokus hindeutet. Eine interessante Entwicklung bei den neuen **NFCShare**-Varianten ist die Einführung von fehlerhaft verpackten APKs. Diese Technik, die fehlerhafte oder manipulierte Dateipfade im ZIP-Archiv der APK beinhaltet, soll die automatisierte Analyse behindern und möglicherweise bestimmte Sicherheitstools umgehen. Obwohl sie die statische Analyse in einigen Tools stören kann, stellen die **D3Lab**-Forscher fest, dass sie die manuelle Analyse oder die Wiederherstellung des Codes nicht verhindert. ### Schützen Sie sich vor NFCShare Für IT-Sicherheitsexperten und datenschutzbewusste Benutzer ist Wachsamkeit von größter Bedeutung. Um das Risiko, Opfer von **NFCShare** und ähnlicher Android-Malware zu werden, zu mindern, sollten Sie die folgenden Best Practices berücksichtigen: * **Apps offiziell beziehen**: Laden Sie Banking-Anwendungen immer ausschließlich aus offiziellen App-Stores wie Google Play herunter. Vermeiden Sie Links oder Repositories von Drittanbietern, insbesondere solche, die per E-Mail, SMS oder über verdächtige Websites empfangen werden. * **Play Protect aktivieren**: Stellen Sie sicher, dass Google Play Protect auf Android-Geräten aktiviert ist, da es eine Schutzschicht gegen bösartige Apps bietet. * **Vorsicht bei NFC-Scans**: Seien Sie äußerst misstrauisch gegenüber allen „Verifizierungsanfragen“, die Sie auffordern, Ihre Zahlungskarte über den NFC-Chip Ihres Geräts zu scannen, insbesondere außerhalb einer vertrauenswürdigen, physischen Zahlungsterminalumgebung. * **URLs überprüfen**: Überprüfen Sie immer die URL von Banking-Websites auf Authentizität, bevor Sie Anmeldedaten eingeben. Phishing-Seiten verwenden oft subtile Tippfehler oder andere Domains.