Зловреден софтуер за NFCShare за Android
Изследователи по киберсигурност са идентифицирали нови варианти на зловредния софтуер за Android NFCShare, разпространяван чрез фалшиви актуализации за легитимни банкови приложения, хоствани в GitHub. Заплахата е еволюирала значително от по-ранните си версии и сега е насочена към клиенти на множество банки и финансови институции в цяла Европа чрез сложни фишинг операции, предназначени да крадат информация за платежни карти.
Съдържание
Как NFCShare краде чувствителни данни от картата
Атаката разчита на техники за социално инженерство, които убеждават жертвите да взаимодействат с измамен процес на проверка. Потребителите са инструктирани да поставят платежните си карти близо до чипа за комуникация в близко поле (NFC) на мобилното си устройство, което позволява на зловредния софтуер да осъществява достъп до данните на картата чрез интерфейса IsoDep на Android и EMV команди.
След активиране, NFCShare събира важна информация, включително:
- Номер на платежна карта
- Тип карта
- Дата на изтичане
- Четирицифрен ПИН код, въведен от жертвата като част от фалшив процес на проверка на сигурността
Открадната информация след това се предава към командно-контролната (C2) инфраструктура на нападателите чрез комуникационен канал WebSocket. Тези данни могат впоследствие да бъдат използвани при атаки с реле за плащания чрез NFC, подобни на тези, свързани преди това с кампаниите със зловреден софтуер NGate, SuperCard X и RelayNFC.
Развиваща се заплаха с отличителни характеристики
NFCShare беше документиран за първи път от изследователи по сигурността през януари 2026 г., а текущото наблюдение разкри непрекъснато развитие и усъвършенстване на зловредния софтуер. Въпреки че заплахата споделя поведенчески сходства с други семейства злонамерен софтуер за Android, които използват NFC технология, изследователите са идентифицирали забележителни разлики в нейната кодова база, библиотеки, архитектура и методи за внедряване.
Въпреки тези разлики, експертите смятат, че NFCShare все още може да представлява еволюция на същата по-широка киберпрестъпна екосистема и може да се управлява от същите злонамерени лица, отговорни за свързани кампании.
Веригата от атаки започва с фишинг страници за банкови услуги
Последните атаки, наблюдавани от 14 май насам, следват внимателно разработена верига от инфекции. Жертвите първо се насочват към фишинг уебсайтове, които имитират легитимни банкови портали и изискват идентификационни данни за онлайн банкиране. След предоставяне на тази информация, потребителите се насърчават да инсталират това, което изглежда като задължителна актуализация на банковото приложение.
След това жертвите се пренасочват към хранилище в GitHub, където се съхраняват злонамерени APK файлове за Android. Изследователите също така отбелязват, че SMS съобщения и телефонни обаждания от лица, представящи се за банкови представители, биха могли да бъдат включени в процеса на социално инженерство, въпреки че тези техники все още не са наблюдавани директно в кампаниите на NFCShare.
GitHub хранилище съдържа десетки фалшиви банкови приложения
Хранилището на GitHub, използвано за разпространение на зловредния софтуер, е създадено на 10 април и вече е съдържало 56 уникални злонамерени APK файла, имитиращи банкови приложения, насочени предимно към клиенти в Италия и Испания. Примери за това са:
- Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte и Mooney Carte
- CaixaBank, CaixaBankNfc и CaixaReactivaTarjeta
Преди това изследователите съобщиха, че NFCShare е бил насочен само към клиенти на Deutsche Bank в Германия през януари 2026 г. Последните открития показват, че операторите на зловреден софтуер значително са разширили обхвата си на таргетиране в цяла Европа.
Техники за обфускация, предназначени да усложнят анализа
Едно от най-забележителните подобрения в най-новите варианти на NFCShare е използването на техники за пакетиране на деформирани APK файлове, предназначени да нарушат автоматизирания анализ на зловреден софтуер и потенциално да попречат на определени инструменти за сигурност.
Въпреки че APK файловете остават стандартни ZIP архиви, по-новите образци съдържат умишлено деформирани файлови пътища. Тези манипулирани пътища могат да доведат до това някои инструменти за извличане да интерпретират погрешно вътрешните относителни пътища като действителни местоположения на файловата система, което води до грешки при обработката и неуспешни опити за анализ.
Тази техника обаче не предотвратява ръчното проучване или възстановяването на код. Вместо това, тя служи предимно за усложняване на работните процеси за статичен анализ и възпрепятстване на автоматизираните механизми за откриване.
Защита срещу NFCShare инфекции
Експертите по сигурността съветват потребителите на Android да изтеглят банкови приложения изключително от надеждни и реномирани източници, като например официални магазини за приложения или проверени банкови уебсайтове. Потребителите също трябва да бъдат внимателни, когато се сблъскат с неочаквани процедури за проверка, особено такива, изискващи сканиране на NFC карти или други необичайни проверки за сигурност, тъй като те могат да показват опит за събиране на чувствителна финансова информация.
