Teknologi
Slik beskytter du deg: NFC-skimming og falske apper er 2026-s farligste Android-trusler
Angrepene mot Android-telefoner via NFC-betaling har eksplodert i 2026, og norske brukere er midt i skuddlinjen.
Antallet NFC-baserte angrep mot Android-telefoner økte med 188 prosent i de første fire månedene av 2026 sammenlignet med samme periode i fjor, opplyser sikkerhetsselskapet Kaspersky i en pressemelding fra 1. juni. Selskapet blokkerte 35 600 forsøk i perioden januar til april, mot drøyt 12 300 i samme periode året før.
Bak tallene ligger en ny generasjon skadevare som SuperCard X, PhantomCard og NGate, sammen med ondsinnede varianter av åpen kildekode-verktøyet NFCGate. Felles for dem er at de utnytter den trådløse betalingsteknologien til å stjele penger uten at brukeren ser hva som skjer.
To metoder, samme mål
Den klassiske varianten kalles direkte NFC-relay. Her installerer offeret en app som utgir seg for å være en banktjeneste eller systemoppdatering, og blir bedt om å holde bankkortet inntil telefonen for «verifisering». Appen leser da kortdataene via NFC og videresender dem til en annen telefon, der en medskyldig bruker kortet i en minibank.
Den nyere varianten, omvendt NFC-relay, snur prosessen på hodet. «Offerets smarttelefon leser ikke lenger sitt eget kort, den emulerer angriperens kort», skriver Kaspersky. Brukeren installerer en falsk betalingsapp som settes som standard for kontaktløs betaling, og blir deretter lurt til å sette inn penger i en minibank. Innskuddet havner direkte hos kriminelle.
Sergey Golovanov, sjefssikkerhetsekspert hos Kaspersky, advarer om at den omvendte varianten er vanskeligere å oppdage fordi ofrene selv overfører pengene, og at transaksjonene dermed ligner helt vanlige innskudd.
Falske apper blir sluset inn
Trusselen rammer bredt fordi de kriminelle har funnet smarte distribusjonskanaler. Apper sendes via meldingstjenester med filnavn som «party_pics.jpg.apk», eller spres gjennom falske nettsider som imiterer kjente tjenester.
En fersk variant kalt Rokarolla, beskrevet av sikkerhetsselskapet Zimperium 17. juni, retter seg mot 217 bank- og kryptoapper og kan kjøre 137 ulike kommandoer på en infisert telefon. Skadevaren utgir seg for å være Google Play Protect og spres via sider som etterligner TikTok og Chrome.
Når Rokarolla starter, ber den om tilgang til Androids tilgjengelighetstjenester, samt rettigheter til varsler og SMS. Med dette på plass kan den lese lockscreen-koden din, blokkere innkommende anrop, dempe varsler og legge falske skjermbilder over bankappene dine.
Google skjerper reglene
Misbruket av tilgjengelighetstjenestene har blitt så omfattende at Google har grepet inn. I Android 16, omtalt av Malwarebytes i mars, kan apper i Advanced Protection Mode ikke lenger fritt aktivere tilgjengelighetsfunksjonene. «Mange Android-banktrojanere er lite annet enn innpakninger rundt tilgjengelighets-API-et med kriminelle hensikter», skriver Malwarebytes om bakgrunnen for grepet.
For norske brukere er problemstillingen særlig relevant. Kontaktløs betaling og mobilbetaling med NFC er nær universelt utbredt i Norge, og det gjør Android-telefonen til en attraktiv målskive.
Tre konkrete grep
Sjekk hvilke apper du har installert. Last bare ned apper fra Google Play, og hold deg unna lenker i SMS, Messenger eller e-post som ber deg installere en APK-fil. Ingen bank vil noen gang be deg om å laste ned en app utenfor butikken eller å holde bankkortet ditt mot telefonen.
Kontroller standard betalingsapp. Gå inn i innstillingene under «Kontaktløs betaling» og se hvilken app som er valgt. Hvis det står noe annet enn Google Wallet, Vipps eller en kjent bank-app, fjern den umiddelbart. Skru av NFC når du ikke bruker det aktivt.
Se etter advarselssignalene. Telefon som plutselig blir treg, ukjente apper med vide rettigheter, varsler du ikke får opp, eller en lockscreen som ser litt annerledes ut, kan være tegn på at telefonen er kompromittert. Gå i tilfelle gjennom tilgjengelighetsinnstillingene og fjern alle apper du ikke selv har gitt slik tilgang.
Det enkleste rådet er likevel det viktigste: ingen seriøs aktør vil noen gang be deg om å taste bankkortets PIN-kode inn i en app, eller stå ved en minibank og følge instrukser fra en fremmed på telefonen.

