RelayNFC und Zero-Click-Exploits: Doppelschlag gegen Smartphone-Sicherheit

Eine gefährliche Doppelbedrohung erschüttert die mobile Sicherheitslandschaft: Während US-Behörden vor kommerzieller Spyware gegen verschlüsselte Messenger warnen, entdeckten Forscher zeitgleich eine neuartige Android-Malware, die kontaktlose Zahlungskarten klonen kann. Was bedeutet das für deutsche Nutzer?

Die amerikanische Cybersecurity-Behörde CISA schlug gestern Alarm: Staatlich unterstützte Hacker setzen kommerzielle Spyware gegen Nutzer von Signal und WhatsApp ein. Keine 24 Stunden später präsentierte das Sicherheitsunternehmen Cyble “RelayNFC” – eine Schadsoftware, die über die NFC-Schnittstelle Zahlungskarten in Echtzeit klont und Transaktionen durchführt.

Beide Bedrohungen zeigen einen besorgniserregenden Trend: Angreifer zielen nicht mehr nur auf Software-Schwachstellen, sondern nutzen zunehmend Hardware-Funktionen moderner Smartphones als Einfallstor.

Passend zum Thema Smartphone-Schutz: Viele Android-Nutzer unterschätzen Gefahren wie RelayNFC – Manipulationen der NFC-Funktion können kontaktlose Karten ersetzen und unbemerkt Geld abziehen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android: regelmäßige Updates, NFC nur bei Bedarf aktivieren, App-Quellen prüfen und konkrete Checklisten für WhatsApp sowie Banking-Apps. Inklusive leicht umsetzbarer Schritt-für-Schritt-Anleitungen. Gratis-Sicherheitspaket für Android herunterladen

Die CISA-Warnung vom Montag richtet sich explizit an Regierungsmitarbeiter, Militärangehörige und Journalisten in den USA, Europa und dem Nahen Osten. Die Angreifer verwenden sogenannte Zero-Click-Exploits – Sicherheitslücken, die keinerlei Zutun des Opfers erfordern.

Die Methoden sind perfide: Über manipulierte QR-Codes zum Geräte-Verknüpfen oder präparierte Mediendateien verschaffen sich die Angreifer dauerhaften Zugriff auf verschlüsselte Kommunikation. Einmal installiert, umgehen die Schadprogramme die Ende-zu-Ende-Verschlüsselung nicht durch Knacken – sie lesen schlicht mit, nachdem die App die Nachricht entschlüsselt hat.

Die Behörde verweist auf die Kampagne “LANDFALL”, die Anfang November bekannt wurde. Hier nutzten Angreifer manipulierte DNG-Bilddateien via WhatsApp, um gezielt Schwachstellen in Samsung-Geräten auszunutzen. Eine Erinnerung daran, dass selbst vertrauenswürdige Apps zum Angriffsvektor werden können.

RelayNFC: Wenn das Smartphone zur Kartenkopie wird

Während die CISA-Warnung sich auf Spionage konzentriert, zielt RelayNFC direkt auf das Portemonnaie ab. Die heute von Cyble vorgestellte Malware manipuliert die NFC-Hardware in Android-Telefonen – jene Technik, die kontaktloses Bezahlen ermöglicht.

So funktioniert der Angriff:

Die Schadsoftware tarnt sich als Sicherheits-App, etwa als “Kartenschutz-Tool”. Nach der Installation fordert sie NFC-Berechtigungen an – scheinbar legitim für eine Sicherheitsanwendung. Doch statt zu schützen, schaltet sich RelayNFC zwischen Nutzer und Bezahlterminal.

Sobald das Opfer sein Smartphone an ein NFC-Lesegerät hält oder ein Angreifer das NFC-Modul aktiviert, leitet die Malware die Kartendaten in Echtzeit an ein ferngesteuertes Gerät weiter. Dieses kann dann an einem beliebigen Geldautomaten oder Kassenterminal die Transaktion durchführen – als wäre die echte Karte physisch anwesend.

Besonders tückisch: RelayNFC basiert auf React Native und Hermes-Bytecode. Diese modernen Entwicklungsframeworks erschweren herkömmlichen Antivirenprogrammen die Analyse erheblich.

Von Brasilien nach Europa?

Aktuell konzentriert sich RelayNFC auf brasilianische Nutzer. Doch Sicherheitsexperten warnen: Die modulare Bauweise der Malware ermöglicht schnelle Anpassungen für andere Märkte. Deutsche und europäische Nutzer könnten bereits in den kommenden Monaten ins Visier geraten.

Der zeitliche Zusammenhang ist kein Zufall. Bereits am 20. November stellten Forscher von ThreatFabric mit “Sturnus” einen Banking-Trojaner vor, der ähnliche Techniken nutzt. Sturnus missbraucht Androids Bedienungshilfen, um Messenger-Inhalte direkt vom Bildschirm auszulesen – nach der Entschlüsselung durch die App.

Zwei Fronten, eine Strategie

“Wir beobachten eine Aufspaltung der Bedrohungslandschaft”, erklärt ein leitender Sicherheitsanalyst. “Einerseits staatlich unterstützte Akteure mit Zero-Click-Exploits für Spionage. Andererseits finanziell motivierte Kriminelle, die Hardware-Relays entwickeln, um direkt Geld zu stehlen.”

Die Gemeinsamkeit: Beide Ansätze umgehen klassische Abwehrmaßnahmen. Mitarbeiterschulungen gegen Phishing laufen ins Leere, wenn Angriffe keine Nutzerinteraktion erfordern. Verschlüsselung schützt nicht, wenn die Schadsoftware nach der Entschlüsselung ausliest.

Was deutsche Nutzer jetzt tun sollten

Sofortmaßnahmen:

• Android-Updates prüfen: Sicherheitspatches schließen bekannte Zero-Click-Lücken
• Verknüpfte Geräte kontrollieren: In WhatsApp und Signal regelmäßig die “Verknüpfte Geräte”-Übersicht checken
• NFC deaktivieren: Die Nahfeldkommunikation nur bei aktiver Nutzung einschalten
• App-Quellen überprüfen: Finanz- und Sicherheits-Apps ausschließlich aus dem Play Store installieren

Mittelfristige Entwicklungen:

Google dürfte die Berechtigungen für Bedienungshilfen und NFC-Zugriff in kommenden Android-Versionen weiter verschärfen. Für besonders schützenswerte Accounts könnten Hardware-Sicherheitsschlüssel wie YubiKeys zur Standardempfehlung werden.

Die CISA-Warnung deutet darauf hin, dass US-Behörden eine Eskalation solcher Angriffe erwarten. Bleibt die Frage: Wie lange dauert es, bis RelayNFC & Co. auch deutsche Smartphones ins Visier nehmen?

PS: Wenn Sie verhindern wollen, dass Schadsoftware Ihre Karten- oder Messenger-Daten ausliest, fordern Sie das kompakte Android-Schutzpaket an. Es zeigt konkret, wie Sie NFC sicher nutzen, Bedienungshilfen richtig einschränken und verdächtige Apps erkennen – ideal für alle, die mobil bezahlen oder vertraulich chatten. Mit praktischen Checklisten, Praxis-Tipps und klaren Schritten für Anfänger und Fortgeschrittene. Kostenlos per E‑Mail und sofort umsetzbar. Jetzt kostenloses Android-Schutzpaket anfordern