{"id":33112,"date":"2026-01-29T13:44:22","date_gmt":"2026-01-29T11:44:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33112"},"modified":"2026-01-28T17:45:58","modified_gmt":"2026-01-28T15:45:58","slug":"nfc-gate-relay-attacks-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/nfc-gate-relay-attacks-2026\/33112\/","title":{"rendered":"NFC-Skimming-Angriffe"},"content":{"rendered":"

Dank der Bequemlichkeit von NFC und Smartphone-Zahlungen haben viele Menschen keine Brieftasche mehr bei sich und erinnern sich nicht einmal mehr an die PIN ihrer Bankkarte. Alle ihre Karten befinden sich in einer Zahlungs-App, und diese zu verwenden ist schneller, als die physische Karte herauszukramen. Auch mobiles Bezahlen ist sicher \u2013 die Technologie wurde vor relativ kurzer Zeit entwickelt und bietet zahlreiche Schutzma\u00dfnahmen zur Bek\u00e4mpfung von Betrug. Dennoch haben Kriminelle verschiedene M\u00f6glichkeiten entwickelt, um NFC zu missbrauchen und an dein Geld zu kommen. Gl\u00fccklicherweise geht der Schutz deines Geldes ganz einfach: Mache dich mit diesen Tricks vertraut und meide riskante Szenarien der NFC-Nutzung.<\/p>\n

Was sind NFC-Relay und NFCGate?<\/h2>\n

NFC-Relay ist eine Technik, bei der Daten, die drahtlos zwischen einer Quelle (z. B. einer Bankkarte) und einem Empf\u00e4nger (z. B. einem Zahlungsterminal) \u00fcbertragen werden, von einem zwischengeschalteten Ger\u00e4t abgefangen und in Echtzeit an ein anderes weitergeleitet werden. Stelle dir vor, du hast zwei Smartphones, die \u00fcber das Internet verbunden sind und auf denen jeweils eine Relay-App installiert ist. Wenn du eine physische Bankkarte gegen das erste Smartphone und das zweite Smartphone in die N\u00e4he eines Terminals oder Geldautomaten h\u00e4ltst, liest die Relay-App auf dem ersten Smartphone das Signal der Karte mithilfe von NFC und \u00fcbertr\u00e4gt es in Echtzeit an das zweite Smartphone, das dieses Signal anschlie\u00dfend an das Terminal \u00fcbertr\u00e4gt. Aus Sicht des Terminals sieht es so aus, als w\u00e4re eine echte Karte daran gehalten worden \u2013 auch wenn sich die Karte selbst in einer anderen Stadt oder einem anderen Land befindet.<\/p>\n

Diese Technologie wurde urspr\u00fcnglich nicht zu kriminellen Zwecken entwickelt. Die NFCGate-App erschien 2015 als Forschungstool, nachdem sie von Studenten der Technischen Universit\u00e4t Darmstadt in Deutschland entwickelt wurde. Sie war f\u00fcr die Analyse und Fehlerbehebung des NFC-Datenverkehrs sowie f\u00fcr Bildungszwecke und Experimente mit kontaktloser Technologie vorgesehen. NFCGate wurde als Open-Source-L\u00f6sung vertrieben und in akademischen Kreisen und von Technikenthusiasten verwendet.<\/p>\n

F\u00fcnf Jahre sp\u00e4ter erkannten Cyberkriminelle das Potenzial von NFC-Relay und begannen, NFCGate zu modifizieren, indem sie Mods hinzuf\u00fcgten, die es ihm erm\u00f6glichten, \u00fcber einen sch\u00e4dlichen Server zu gehen, sich als legitime Software zu tarnen und Social-Engineering-Szenarien auszuf\u00fchren.<\/p>\n

Was als Forschung begann, wurde zur Grundlage f\u00fcr eine ganze Reihe von Angriffen, die darauf abzielten, Bankkonten ohne physischen Zugriff auf eine Bankkarte abzur\u00e4umen.<\/p>\n

Geschichte des Missbrauchs<\/h2>\n

Die ersten dokumentierten Angriffe mit einem modifizierten NFCGate ereigneten sich Ende 2023 in der Tschechischen Republik. Bis Anfang 2025 hatte sich das Problem bereits erheblich ausgeweitet: Cybersicherheitsanalysten entdeckten mehr als 80 verschiedene Malware-Beispiele, die auf dem NFCGate-Framework basierten. Die Angriffe entwickelten sich schnell weiter und die NFC-Relay-Funktionen wurden auch in andere Malware-Komponenten integriert.<\/p>\n

Bis Februar 2025 tauchten Malware-Bundles auf, die CraxsRAT und NFCGate kombinieren und es Angreifern erm\u00f6glichen, das Relay mit minimaler Interaktion des Opfers zu installieren und zu konfigurieren. Im Fr\u00fchjahr 2025 tauchte eine neue Masche<\/a> auf, eine sogenannte \u201eumgekehrte\u201c Version von NFCGate, die die Ausf\u00fchrung des Angriffs grundlegend \u00e4nderte.<\/p>\n

Besonders hervorzuheben ist der Trojaner RatOn<\/a>, der erstmals in der Tschechischen Republik detektiert wurde. Er kombiniert die Fernbedienung des Smartphones mit NFC-Relay-Funktionen und erm\u00f6glicht es Angreifern, die Banking-Apps und Karten der Opfer durch unterschiedliche Kombinationen von Techniken anzugreifen. Funktionen wie Bildschirmaufnahme, Datenmanipulation in der Zwischenablage, SMS-Versand und Diebstahl von Daten aus Krypto-Wallets und Banking-Apps bieten Kriminellen ein umfangreiches Arsenal.<\/p>\n

Au\u00dferdem haben Cyberkriminelle die NFC-Relay-Technologie auch in MaaS-Angebote (Malware-as-a-Service) gepackt und im Rahmen eines Abonnements an andere Bedrohungsakteure weiterverkauft. Anfang 2025 entdeckten Analysten in Italien eine neue und ausgekl\u00fcgelte Android-Malware-Kampagne namens SuperCard X<\/a>. Versuche, SuperCard X einzusetzen, wurden im Mai 2025 in Russland und im August desselben Jahres in Brasilien registriert.<\/p>\n

Der direkte NFCGate-Angriff<\/h2>\n

Der direkte Angriff ist die urspr\u00fcngliche kriminelle Masche, die NFCGate ausnutzt. In diesem Szenario \u00fcbernimmt das Smartphone des Opfers die Rolle des Leseger\u00e4ts, w\u00e4hrend das Telefon des Angreifers als Kartenemulator agiert.<\/p>\n

Zun\u00e4chst bringen die Betr\u00fcger den Benutzer dazu, eine sch\u00e4dliche App zu installieren, die als Bankdienst, System-Update, App zur Kontosicherheit oder sogar als beliebte App wie TikTok getarnt ist. Nach der Installation erh\u00e4lt die App Zugriff sowohl auf NFC als auch auf das Internet \u2013 oft ohne gef\u00e4hrliche Berechtigungen<\/a> oder Root-Zugriff anzufordern. Einige Versionen verlangen auch Zugriff auf die Bedienungshilfen von Android<\/a>.<\/p>\n

Dann wird das Opfer unter dem Deckmantel der Identit\u00e4ts\u00fcberpr\u00fcfung aufgefordert, seine Bankkarte an sein Telefon zu halten. Dabei liest die Malware die Kartendaten per NFC aus und sendet sie sofort an den Server der Angreifer. Von dort werden die Informationen an ein zweites Smartphone weitergeleitet, das einem Geldesel geh\u00f6rt, \u00fcber den das Geld dann abgehoben wird. Dieses Telefon emuliert dann die Karte des Opfers, um Zahlungen an einem Terminal zu t\u00e4tigen oder an einem Geldautomaten Bargeld abzuheben.<\/p>\n

Die gef\u00e4lschte App auf dem Smartphone des Opfers fragt au\u00dferdem \u2013 wie an einem Zahlterminal oder Geldautomaten \u2013 nach der Karten-PIN und sendet diese an die Angreifer.<\/p>\n

In fr\u00fchen Versionen des Angriffs standen Kriminelle einfach mit einem Telefon am Geldautomaten, um die Karte des gef\u00e4lschten Benutzers in Echtzeit zu verwenden. Sp\u00e4ter wurde die Malware so verfeinert, dass die gestohlenen Daten f\u00fcr Eink\u00e4ufe in Gesch\u00e4ften in einem verz\u00f6gerten Offline-Modus und nicht in einem Live-Relay verwendet werden konnten.<\/p>\n

F\u00fcr die Opfer ist der Diebstahl kaum wahrnehmbar: Die Karte wurde nicht aus der Hand gegeben, die Daten wurden nicht manuell eingegeben oder wiederholt und die Benachrichtigungen der Bank \u00fcber die Abhebungen k\u00f6nnen verz\u00f6gert oder sogar von der sch\u00e4dlichen App selbst abgefangen werden.<\/p>\n

Zu den Warnsignalen, die einen direkten NFC-Angriff vermuten lassen, geh\u00f6ren:<\/p>\n