Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós d'Android NFCShare

Programari maliciós d'Android NFCShare

El Mezo el Programari maliciós mòbil
Traduir a:

Investigadors de ciberseguretat han identificat noves variants del programari maliciós per a Android NFCShare que es distribueix a través d'actualitzacions falses per a aplicacions bancàries legítimes allotjades a GitHub. L'amenaça ha evolucionat significativament respecte a les seves versions anteriors i ara té com a objectiu clients de múltiples bancs i institucions financeres de tot Europa a través d'operacions sofisticades de phishing dissenyades per robar informació de targetes de pagament.

Com NFCShare roba dades sensibles de targetes

L'atac es basa en tècniques d'enginyeria social que convencen les víctimes perquè interactuïn amb un procés de verificació fraudulent. Es demana als usuaris que col·loquin les seves targetes de pagament a prop del xip de comunicació de camp proper (NFC) del seu dispositiu mòbil, cosa que permet que el programari maliciós accedeixi a les dades de la targeta a través de la interfície IsoDep d'Android i les ordres EMV.

Un cop activat, NFCShare recopila informació crítica, com ara:

  • Número de targeta de pagament
  • Tipus de targeta
  • Data de caducitat
  • Codi PIN de quatre dígits introduït per la víctima com a part d'un procés de verificació de seguretat fals

La informació robada es transmet a la infraestructura de comandament i control (C2) dels atacants a través d'un canal de comunicació WebSocket. Aquestes dades es poden aprofitar posteriorment en atacs de retransmissió de pagaments NFC similars als que s'associaven anteriorment amb campanyes de programari maliciós NGate, SuperCard X i RelayNFC.

Una amenaça en evolució amb característiques distintives

NFCShare va ser documentat per primera vegada per investigadors de seguretat el gener de 2026, i el seguiment continu ha revelat un desenvolupament i refinament continus del programari maliciós. Tot i que l'amenaça comparteix similituds de comportament amb altres famílies de programari maliciós d'Android que exploten la tecnologia NFC, els investigadors han identificat diferències notables en la seva base de codi, biblioteques, arquitectura i mètodes d'implementació.

Malgrat aquestes distincions, els experts creuen que NFCShare encara podria representar una evolució del mateix ecosistema ciberdelinqüent més ampli i podria ser operat pels mateixos actors d'amenaces responsables de campanyes relacionades.

La cadena d’atac comença amb les pàgines de phishing bancàries

Els atacs recents observats des del 14 de maig segueixen una cadena d'infecció acuradament elaborada. Les víctimes són dirigides primer a llocs web de phishing que imiten portals bancaris legítims i sol·liciten credencials de banca en línia. Després de proporcionar aquesta informació, s'anima els usuaris a instal·lar el que sembla ser una actualització obligatòria de l'aplicació bancària.

Les víctimes són redirigides a un repositori de GitHub que allotja fitxers APK d'Android maliciosos. Els investigadors també assenyalen que els missatges SMS i les trucades telefòniques de persones que es fan passar per representants bancaris podrien incorporar-se potencialment al procés d'enginyeria social, tot i que aquestes tècniques encara no s'han observat directament en campanyes de NFCShare.

El repositori de GitHub allotja desenes d’aplicacions bancàries falses

El repositori de GitHub utilitzat per distribuir el programari maliciós es va crear el 10 d'abril i ja ha allotjat 56 fitxers APK maliciosos únics que suplanten aplicacions bancàries, dirigits principalment a clients d'Itàlia i Espanya. Alguns exemples són:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte i Mooney Carte
  • CaixaBank, CaixaBankNfc i CaixaReactivaTarjeta

Els investigadors van informar anteriorment que NFCShare només es va dirigir als clients del Deutsche Bank a Alemanya durant el gener del 2026. Les últimes troballes suggereixen que els operadors de programari maliciós han ampliat significativament el seu abast de segmentació a tot Europa.

Tècniques d’ofuscació dissenyades per complicar l’anàlisi

Una de les millores més destacables de les últimes variants d'NFCShare és l'ús de tècniques d'empaquetament d'APK malformades destinades a interrompre l'anàlisi automatitzada de programari maliciós i potencialment interferir amb certes eines de seguretat.

Tot i que els fitxers APK continuen sent arxius ZIP estàndard, les mostres més noves contenen rutes de fitxer intencionadament mal formades. Aquestes rutes manipulades poden fer que algunes eines d'extracció interpretin malament les rutes relatives internes com a ubicacions reals del sistema de fitxers, cosa que provoca errors de processament i intents d'anàlisi fallits.

Tanmateix, aquesta tècnica no impedeix la investigació manual ni la recuperació de codi. En canvi, serveix principalment per complicar els fluxos de treball d'anàlisi estàtica i dificultar els mecanismes de detecció automatitzats.

Protecció contra les infeccions d’NFCShare

Els experts en seguretat aconsellen als usuaris d'Android que descarreguin aplicacions bancàries exclusivament de fonts fiables i de bona reputació, com ara botigues d'aplicacions oficials o llocs web bancaris verificats. Els usuaris també han de tenir precaució quan s'enfrontin a procediments de verificació inesperats, especialment aquells que sol·liciten escanejos de targetes NFC o altres comprovacions de seguretat inusuals, ja que poden indicar un intent de recopilar informació financera confidencial.

Tendència

Més vist

Carregant...