برنامج NFCShare الخبيث لنظام أندرويد

اكتشف باحثو الأمن السيبراني نسخًا جديدة من برمجية NFCShare الخبيثة لنظام أندرويد، والتي يتم توزيعها عبر تحديثات مزيفة لتطبيقات مصرفية شرعية مستضافة على منصة GitHub. وقد تطور هذا التهديد بشكل ملحوظ عن نسخه السابقة، ويستهدف الآن عملاء العديد من البنوك والمؤسسات المالية في جميع أنحاء أوروبا من خلال عمليات تصيد احتيالي متطورة مصممة لسرقة معلومات بطاقات الدفع.

كيف يسرق برنامج NFCShare بيانات البطاقات الحساسة

يعتمد الهجوم على أساليب الهندسة الاجتماعية التي تقنع الضحايا بالتفاعل مع عملية تحقق احتيالية. يُطلب من المستخدمين وضع بطاقات الدفع الخاصة بهم بالقرب من شريحة الاتصال قريب المدى (NFC) في أجهزتهم المحمولة، مما يسمح للبرمجيات الخبيثة بالوصول إلى بيانات البطاقة من خلال واجهة IsoDep الخاصة بنظام Android وأوامر EMV.

بمجرد تفعيلها، تقوم خدمة NFCShare بجمع المعلومات الهامة، بما في ذلك:

• رقم بطاقة الدفع
• نوع البطاقة
• تاريخ انتهاء الصلاحية
• رمز PIN مكون من أربعة أرقام أدخله الضحية كجزء من عملية تحقق أمني مزيفة

تُرسل المعلومات المسروقة بعد ذلك إلى بنية التحكم والسيطرة الخاصة بالمهاجمين عبر قناة اتصال WebSocket. ويمكن استغلال هذه البيانات لاحقًا في هجمات إعادة توجيه مدفوعات NFC، على غرار تلك المرتبطة سابقًا بحملات برامج NGate وSuperCard X وRelayNFC الخبيثة.

تهديد متطور ذو خصائص مميزة

تم توثيق برنامج NFCShare لأول مرة من قبل باحثي الأمن في يناير 2026، وكشفت المراقبة المستمرة عن تطوير وتحسين متواصلين لهذا البرنامج الخبيث. ورغم تشابه سلوكيات هذا التهديد مع عائلات برامج خبيثة أخرى لنظام أندرويد تستغل تقنية NFC، فقد حدد الباحثون اختلافات ملحوظة في قاعدة بياناته البرمجية ومكتباته وبنيته وأساليب تنفيذه.

على الرغم من هذه الاختلافات، يعتقد الخبراء أن NFCShare قد لا يزال يمثل تطورًا لنفس النظام البيئي الإجرامي الإلكتروني الأوسع نطاقًا، وقد يتم تشغيله من قبل نفس الجهات الفاعلة في التهديد المسؤولة عن الحملات ذات الصلة.

تبدأ سلسلة الهجمات بصفحات التصيد الاحتيالي المصرفية.

تتبع الهجمات الأخيرة التي رُصدت منذ 14 مايو/أيار سلسلة عدوى مُحكمة التخطيط. يُوجَّه الضحايا أولاً إلى مواقع تصيّد احتيالي تُحاكي بوابات مصرفية شرعية وتطلب بيانات اعتماد الخدمات المصرفية عبر الإنترنت. بعد تقديم هذه المعلومات، يُشجَّع المستخدمون على تثبيت ما يبدو أنه تحديث إلزامي لتطبيق مصرفي.

ثم يُعاد توجيه الضحايا إلى مستودع على منصة GitHub يستضيف ملفات APK خبيثة لنظام Android. ويشير الباحثون أيضًا إلى إمكانية دمج الرسائل النصية القصيرة والمكالمات الهاتفية من أفراد ينتحلون صفة ممثلي البنوك في عملية الهندسة الاجتماعية، على الرغم من أن هذه الأساليب لم تُرصد بشكل مباشر في حملات NFCShare حتى الآن.

يستضيف مستودع GitHub عشرات التطبيقات المصرفية المزيفة

تم إنشاء مستودع GitHub المستخدم لتوزيع البرمجيات الخبيثة في 10 أبريل، وقد استضاف بالفعل 56 ملف APK خبيثًا فريدًا ينتحل صفة تطبيقات مصرفية، ويستهدف بشكل أساسي العملاء في إيطاليا وإسبانيا. ومن الأمثلة على ذلك:

• إنتيسا كارت، سيلا كارت، بانكا سيلا كارت، نيكسي كارت، فيديورام كارت، وموني كارت
• كايكسابنك، كايكسابانكNfc، و كايكساReactivaTarjeta

أفاد باحثون سابقاً بأن برنامج NFCShare استهدف عملاء دويتشه بنك في ألمانيا فقط خلال شهر يناير 2026. وتشير أحدث النتائج إلى أن مشغلي البرامج الضارة قد وسعوا نطاق استهدافهم بشكل كبير في جميع أنحاء أوروبا.

أساليب التمويه المصممة لتعقيد التحليل

من أبرز التحسينات في أحدث إصدارات NFCShare استخدام تقنيات تغليف APK المشوهة التي تهدف إلى تعطيل التحليل الآلي للبرامج الضارة وربما التدخل في بعض أدوات الأمان.

على الرغم من أن ملفات APK لا تزال ملفات ZIP قياسية، إلا أن العينات الأحدث تحتوي على مسارات ملفات مشوهة عمدًا. قد تتسبب هذه المسارات المُعدّلة في تفسير بعض أدوات الاستخراج للمسارات النسبية الداخلية بشكل خاطئ على أنها مواقع نظام ملفات فعلية، مما يؤدي إلى أخطاء في المعالجة وفشل محاولات التحليل.

مع ذلك، لا تمنع هذه التقنية التحقيق اليدوي أو استعادة الكود. بل إنها في المقام الأول تُعقّد سير عمل التحليل الثابت وتُعيق آليات الكشف الآلي.

الحماية من عدوى NFCShare

ينصح خبراء الأمن مستخدمي أندرويد بتحميل تطبيقات الخدمات المصرفية حصرياً من مصادر موثوقة وذات سمعة طيبة، مثل متاجر التطبيقات الرسمية أو مواقع البنوك المعتمدة. كما ينبغي على المستخدمين توخي الحذر عند مواجهة إجراءات تحقق غير متوقعة، لا سيما تلك التي تطلب مسح بطاقات NFC أو غيرها من الفحوصات الأمنية غير المعتادة، إذ قد تشير هذه الإجراءات إلى محاولة لسرقة معلومات مالية حساسة.