Wie entfernt man den PhantomCard/NFCShare Banking-Trojaner von Android

Was ist PhantomCard/NFCShare?

PhantomCard und NFCShare sind zwei von Forschern vergebene Namen für denselben Android-Banking-Trojaner, der NFC-Relay-Angriffe nutzt, um kontaktlose Zahlungskartendaten und PINs zu stehlen. ThreatFabric benannte die auf Brasilien ausgerichtete Version PhantomCard; D3Lab benannte die auf Italien ausgerichtete Version NFCShare. Beide sind regionale Varianten derselben chinesischen Malware-as-a-Service-Familie, die als NFU Pay bekannt ist.

PhantomCard/NFCShare Malware - Übersicht

PhantomCard/NFCShare basiert auf NFC-Relay-Angriffen. Nach der Installation zeigt die bösartige App einen gefälschten Kartenverifizierungsbildschirm an, der das Opfer auffordert, seine kontaktlose Zahlungskarte an die Rückseite des Telefons zu halten. Im Hintergrund erfasst sie unbemerkt die Kartendaten über den eingebauten NFC-Leser des Geräts.

Der gefälschte Bildschirm ahmt eine echte Banksicherheitsprüfung nach und führt das Opfer durch drei Schritte: die Karte in die Nähe des Telefons halten, warten, bis sie erkannt wird, und dann eine PIN eingeben. Die Aufforderungen ähneln stark echten Bankverifizierungsabläufen, und viele Opfer folgen ihnen, ohne etwas zu bemerken.

Sobald die Kartendaten und die PIN erfasst sind, werden sie in Echtzeit über eine WebSocket-Verbindung an von Angreifern kontrollierte Server gesendet. Ein Krimineller auf der anderen Seite verwendet eine Begleitanwendung, um die Karte des Opfers auf seinem eigenen Gerät zu emulieren.

Mit dieser emulierten Karte kann der Angreifer unbefugte kontaktlose Zahlungen an Point-of-Sale-Terminals durchführen oder Bargeld an Geldautomaten abheben. Die physische Karte des Opfers verlässt nie seine Hände - dennoch kann sein Geld gestohlen werden, während die Karte noch in der Nähe ist.

Die Malware ist in zwei unterschiedlichen regionalen Kampagnen aufgetaucht. In Brasilien dokumentierte ThreatFabric sie als PhantomCard, die sich als „Card Protection"-App tarnt und über gefälschte Google Play Store-Seiten mit fabrizierten Nutzerbewertungen verbreitet wird. In Italien dokumentierte D3Lab sie als NFCShare, die über Phishing-Seiten verbreitet wird, die Deutsche Bank Italy imitieren und Besucher auffordern, eine APK-Datei als angebliches Bank-App-Update herunterzuladen.

Unter der Haube teilen sich beide Builds dieselbe NFC-Relay-Codebasis, dieselbe Benutzeroberfläche für das Opfer (in die jeweilige Landessprache übersetzt) und ähnliche String-Verschleierung. ThreatFabric ordnet die Plattform NFU Pay zu, einem chinesischen Malware-as-a-Service-Angebot, das Betreibern ermöglicht, maßgeschneiderte regionsspezifische Versionen mit eigenen Banking-Ködern zu erstellen.

Die Malware zielt auf EMV-Zahlungskartendaten ab, und der NFCShare-Build verwendet XOR-Verschlüsselung über NPStringFog, um seine Serveradresse vor Sicherheitstools zu verbergen. Er enthält auch eingebettete chinesischsprachige Zeichenketten, die mit demselben Toolkit übereinstimmen.

Es muss erwähnt werden, dass Malware-Entwickler ihre Software und Methoden häufig verbessern, sodass zukünftige Versionen neue Funktionen hinzufügen könnten. Zusammenfassend kann das Vorhandensein von PhantomCard/NFCShare auf einem Gerät zu schwerwiegenden finanziellen Verlusten, ernsthaften Datenschutzproblemen und Identitätsdiebstahl führen.

Beispiele für Banking-Trojaner

Beispiele für andere Android-Banking-Trojaner sind Massiv, Sturnus und Klopatra. Wie PhantomCard/NFCShare nutzen Bedrohungen dieser Art das Vertrauen in vertraute Banking-Oberflächen aus, um Diebstahl durchzuführen, ohne dass das Opfer etwas bemerkt.

Unabhängig von der Variante ist das Endergebnis dasselbe: gestohlene Zahlungsanmeldedaten, unbefugte Transaktionen und geleerte Konten. Wachsamkeit gegenüber inoffiziellen App-Download-Aufforderungen ist eine der wirksamsten Abwehrmaßnahmen.

Wie hat PhantomCard/NFCShare mein Gerät infiltriert?

PhantomCard/NFCShare erreicht Opfer über Kampagnen, die auf bestimmte Länder zugeschnitten sind. In Brasilien verbreitet es sich über gefälschte Google Play Store-Seiten, die eine legitime App imitieren, komplett mit fabrizierten Nutzerbewertungen. Opfer, die die APK von diesen Seiten herunterladen und installieren, gewähren dem Trojaner unwissentlich Zugriff auf die NFC-Hardware ihres Geräts.

In Italien wird dieselbe Malware über Phishing-Seiten verbreitet, die Deutsche Bank Italy nachahmen. Diese Seiten drängen Besucher dazu, eine APK-Datei herunterzuladen, die als erforderliches Banking-App-Update beschrieben wird, und nutzen Phishing-Taktiken, um eine inoffizielle Installation außerhalb des App Stores voranzutreiben.

Banking-Trojaner dieser Art verbreiten sich auch über Links in SMS-Nachrichten, Beiträge in sozialen Medien und Drittanbieter-App-Stores. Jede App, die über einen Browser-Link statt über den offiziellen Google Play Store heruntergeladen werden muss, sollte mit großem Misstrauen behandelt werden.

Wie vermeidet man die Installation von Malware?

Laden Sie Apps nur aus dem offiziellen Google Play Store oder direkt von der verifizierten Webseite Ihrer Bank herunter. Seriöse Banken fordern Kunden nicht auf, App-Updates durch Herunterladen einer APK-Datei über einen Link in einer SMS oder auf einer inoffiziellen Webseite zu installieren.

Halten Sie Android und alle installierten Apps aktuell und verwenden Sie ein seriöses mobiles Sicherheitstool. Wenn eine App Sie auffordert, Ihre Zahlungskarte an Ihr Telefon zu halten oder Ihre PIN außerhalb der offiziellen App Ihrer Bank einzugeben, stoppen Sie sofort und kontaktieren Sie Ihre Bank über die offizielle Nummer, um die Anfrage zu melden.

PhantomCard gefälschtes NFC-Kartenverifizierungs-Overlay (portugiesischsprachige Variante, die auf Brasilien abzielt):

NFCShare gefälschtes NFC-Kartenverifizierungs-Overlay (italienischsprachige Variante, die auf Italien abzielt):

Schnellmenü:

• Einleitung
• Wie löscht man den Browserverlauf im Chrome-Webbrowser?
• Wie deaktiviert man Browserbenachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf im Firefox-Webbrowser?
• Wie deaktiviert man Browserbenachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
• Wie startet man das Android-Gerät im „Abgesicherten Modus"?
• Wie überprüft man den Batterieverbrauch verschiedener Anwendungen?
• Wie überprüft man den Datenverbrauch verschiedener Anwendungen?
• Wie installiert man die neuesten Software-Updates?
• Wie setzt man das System auf den Standardzustand zurück?
• Wie deaktiviert man Anwendungen mit Administratorrechten?

Browserverlauf im Chrome-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie „Verlauf" im geöffneten Dropdown-Menü.

Tippen Sie auf „Browserdaten löschen", wählen Sie die Registerkarte „ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf „Daten löschen".

[Zurück zum Inhaltsverzeichnis]

Browserbenachrichtigungen im Chrome-Webbrowser deaktivieren:

Tippen Sie auf die Schaltfläche „Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie „Einstellungen" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie die Option „Website-Einstellungen" sehen, und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen" sehen, und tippen Sie darauf.

Finden Sie die Webseiten, die Browserbenachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen". Dies entfernt die Berechtigungen, die diesen Webseiten zum Senden von Benachrichtigungen erteilt wurden. Wenn Sie dieselbe Seite jedoch erneut besuchen, kann sie erneut um Erlaubnis bitten. Sie können wählen, ob Sie diese Berechtigungen erteilen oder nicht (wenn Sie ablehnen, wird die Webseite in den Bereich „Blockiert" verschoben und wird Sie nicht mehr um Erlaubnis bitten).

[Zurück zum Inhaltsverzeichnis]

Den Chrome-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Apps" sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher".

Tippen Sie auf „SPEICHER VERWALTEN", dann auf „ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion, indem Sie auf „OK" tippen. Beachten Sie, dass das Zurücksetzen des Browsers alle darin gespeicherten Daten löscht. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Browserverlauf im Firefox-Webbrowser löschen:

Tippen Sie auf die Schaltfläche „Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie „Chronik" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie „Private Daten löschen" sehen, und tippen Sie darauf. Wählen Sie die Datentypen aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN".

[Zurück zum Inhaltsverzeichnis]

Browserbenachrichtigungen im Firefox-Webbrowser deaktivieren:

Besuchen Sie die Webseite, die Browserbenachrichtigungen sendet, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol ist nicht unbedingt ein „Schloss") und wählen Sie „Seiteneinstellungen bearbeiten".

Aktivieren Sie im geöffneten Pop-up die Option „Benachrichtigungen" und tippen Sie auf „LÖSCHEN".

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Apps" sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher".

Tippen Sie auf „DATEN LÖSCHEN" und bestätigen Sie die Aktion, indem Sie auf „LÖSCHEN" tippen. Beachten Sie, dass das Zurücksetzen des Browsers alle darin gespeicherten Daten löscht. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Webseiten erneut anmelden.

[Zurück zum Inhaltsverzeichnis]

Potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren:

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Apps" sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf „Deinstallieren". Falls Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. weil eine Fehlermeldung angezeigt wird), sollten Sie versuchen, den „Abgesicherten Modus" zu verwenden.

[Zurück zum Inhaltsverzeichnis]

Das Android-Gerät im „Abgesicherten Modus" starten:

Der „Abgesicherte Modus" im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Drittanbieter-Anwendungen. Die Verwendung dieses Modus ist eine gute Methode, um verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Sie daran hindern, dies im normalen Betrieb zu tun).

Drücken und halten Sie die „Ein/Aus"-Taste, bis der Bildschirm „Ausschalten" erscheint. Tippen Sie auf das Symbol „Ausschalten" und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus" und Sie können ihn durch Neustart des Geräts aktivieren.

[Zurück zum Inhaltsverzeichnis]

Den Batterieverbrauch verschiedener Anwendungen überprüfen:

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Gerätewartung" sehen, und tippen Sie darauf.

Tippen Sie auf „Akku" und überprüfen Sie den Verbrauch jeder Anwendung. Legitime/echte Anwendungen sind darauf ausgelegt, so wenig Energie wie möglich zu verbrauchen, um die beste Benutzererfahrung zu bieten und Strom zu sparen. Daher kann ein hoher Batterieverbrauch darauf hindeuten, dass die Anwendung bösartig ist.

[Zurück zum Inhaltsverzeichnis]

Den Datenverbrauch verschiedener Anwendungen überprüfen:

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Verbindungen" sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung" sehen, und wählen Sie diese Option. Wie beim Batterieverbrauch sind legitime/echte Anwendungen darauf ausgelegt, den Datenverbrauch so gering wie möglich zu halten. Das bedeutet, dass ein enormer Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hindeuten kann. Beachten Sie, dass einige bösartige Anwendungen möglicherweise so konzipiert sind, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die viele Daten verbraucht, obwohl Sie sie nie verwenden, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Die neuesten Software-Updates installieren:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Praxis in Bezug auf die Gerätesicherheit. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen ausgenutzt werden können. Ein veraltetes System ist weitaus anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts aktuell ist.

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Software-Update" sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen" und überprüfen Sie, ob Updates verfügbar sind. Falls ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen" zu aktivieren - dadurch wird das System Sie benachrichtigen, sobald ein Update veröffentlicht wird, und/oder es automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Das System auf den Standardzustand zurücksetzen:

Das Durchführen eines „Werksresets" ist eine gute Methode, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten und so weiter. Mit anderen Worten, das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Telefoninfo" sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
„Einstellungen zurücksetzen" - alle Systemeinstellungen auf die Standardwerte zurücksetzen;
„Netzwerkeinstellungen zurücksetzen" - alle netzwerkbezogenen Einstellungen auf die Standardwerte zurücksetzen;
„Auf Werkszustand zurücksetzen" - das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Anwendungen mit Administratorrechten deaktivieren:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps solche Berechtigungen haben, und diejenigen deaktivieren, die sie nicht haben sollten.

Gehen Sie zu „Einstellungen", scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit" sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf „Geräteadministrator-Apps".

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und dann auf „DEAKTIVIEREN".

Häufig gestellte Fragen (FAQ)

Mein Android-Gerät ist mit PhantomCard/NFCShare infiziert. Sollte ich mein Speichergerät formatieren, um es loszuwerden?

Das Formatieren Ihres Speichergeräts ist normalerweise nicht erforderlich, um PhantomCard/NFCShare zu entfernen. Das Ausführen einer seriösen mobilen Antivirus-Anwendung wie Combo Cleaner sollte ausreichen, um die Malware zu erkennen und zu beseitigen, ohne Ihr Gerät zu löschen.

Was sind die größten Probleme, die PhantomCard/NFCShare verursachen kann?

Das direkteste Risiko ist finanzieller Diebstahl. Die Malware erfasst kontaktlose Zahlungskartendaten und PINs in Echtzeit und ermöglicht es Angreifern, Einkäufe oder Geldautomatenabhebungen mit einer emulierten Kopie der Karte des Opfers durchzuführen. Opfer bemerken oft nichts, bis unbefugte Abbuchungen auf ihrem Kontoauszug erscheinen.

Kann PhantomCard/NFCShare Geld von meiner kontaktlosen Zahlungskarte stehlen, ohne dass ich es bemerke?

Ja. Die Malware bringt Opfer dazu, ihre Zahlungskarte an das Telefon zu halten und eine PIN über einen gefälschten Verifizierungsbildschirm einzugeben. Die erfassten Daten werden sofort an Angreifer weitergeleitet, die die Karte auf ihrem eigenen Gerät emulieren und sie für kontaktlose Zahlungen oder Geldautomatenabhebungen verwenden - alles, ohne die Karte jemals physisch zu besitzen.

Wie hat PhantomCard/NFCShare mein Android-Gerät infiltriert?

PhantomCard/NFCShare wird über regionsspezifische Kampagnen verbreitet: gefälschte Google Play Store-Seiten in Brasilien und Phishing-Seiten, die Deutsche Bank in Italien imitieren. Beide Versionen setzen auf Social Engineering, um Benutzer dazu zu bringen, eine inoffizielle APK-Datei außerhalb des offiziellen App Stores zu installieren.

Wird Combo Cleaner mich vor Malware schützen?

Combo Cleaner ist in der Lage, nahezu alle bekannten Malware-Infektionen zu erkennen und zu beseitigen. Denken Sie daran, dass ein vollständiger Systemscan unerlässlich ist, da sich ausgefeilte bösartige Programme typischerweise tief im System verstecken.