Cybersicherheitsforscher von Cleafy haben eine hochentwickelte Malware-as-a-Service (MaaS) Plattform namens SuperCard X entdeckt, die speziell für NFC-basierte Relay-Attacken auf Android-Geräte entwickelt wurde. Diese neue Bedrohung ermöglicht Cyberkriminellen, unauthorized Zahlungstransaktionen an Kartenterminals und Geldautomaten durchzuführen, indem sie gestohlene Kreditkartendaten missbrauchen.
Technische Grundlagen und Entstehungsgeschichte
Die Malware basiert auf dem Open-Source-Projekt NFCGate, das 2015 von Forschern der TU Darmstadt für legitime NFC-Protokoll-Debugging-Zwecke entwickelt wurde. SuperCard X nutzt eine modifizierte Version namens NGate, die von mutmaßlich chinesischen Hackern für kriminelle Zwecke angepasst wurde. Die Plattform implementiert fortschrittliche Techniken zur Umgehung von Sicherheitsmechanismen und zur Verschleierung ihrer Aktivitäten.
Angriffsmethodik und Social Engineering
Der Angriffsvektor beginnt mit gezieltem Phishing über SMS oder WhatsApp, wobei sich die Angreifer als Bankmitarbeiter ausgeben. Die Opfer werden zur Installation einer vermeintlichen Sicherheits-App („Reader“) überredet, die in Wirklichkeit Malware enthält. Nach der Installation erhält die Malware Zugriff auf das NFC-Modul des Geräts und kann Kartendaten beim kontaktlosen Bezahlen abfangen.
Fortschrittliche Verschleierungstechniken
SuperCard X verwendet mehrere innovative Technologien zur Verschleierung seiner Aktivitäten. Die Implementierung von mutual TLS (mTLS) schützt die Command-and-Control-Server vor Erkennung, während die ATR-basierte Kartenemulation legitime Transaktionen täuschend echt nachahmt. Besorgniserregend ist, dass die Malware derzeit von gängigen Antivirenlösungen nicht erkannt wird.
Verbreitung und Schadensbilanz
Die Bedrohung hat bereits erhebliche Ausmaße angenommen. In Russland wurden über 22.000 Android-Geräte kompromittiert, mit einem geschätzten Schaden von 200 Millionen Rubel in den ersten zwei Monaten 2025. Die Malware wurde auch in Italien identifiziert, wobei verschiedene Varianten auf eine gezielte regionale Anpassung hindeuten.
Zum Schutz vor SuperCard X empfehlen Sicherheitsexperten, ausschließlich Apps aus dem Google Play Store zu installieren und verdächtige Banknachrichten zu ignorieren. Google bestätigt, dass Play Protect einen grundlegenden Schutz gegen diese Bedrohung bietet. Zusätzlich sollten Nutzer ihre NFC-Funktionalität nur bei Bedarf aktivieren und regelmäßig Sicherheitsupdates installieren. Die kontinuierliche Entwicklung solcher Malware unterstreicht die Notwendigkeit erhöhter Wachsamkeit bei mobilen Finanztransaktionen.
