Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware NFCShare malware pro Android

NFCShare malware pro Android

V roce Mezo v roce Mobilní malware
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nové varianty malwaru pro Android NFCShare, které se šíří prostřednictvím falešných aktualizací legitimních bankovních aplikací hostovaných na GitHubu. Hrozba se od svých dřívějších verzí výrazně vyvinula a nyní cílí na zákazníky mnoha bank a finančních institucí po celé Evropě prostřednictvím sofistikovaných phishingových operací, jejichž cílem je odcizení informací o platebních kartách.

Jak NFCShare krade citlivá data z karet

Útok se opírá o techniky sociálního inženýrství, které přesvědčí oběti k interakci s podvodným ověřovacím procesem. Uživatelé jsou instruováni, aby přiložili své platební karty k čipu NFC (Near Field Communication) svého mobilního zařízení, což malwaru umožňuje přístup k datům karty prostřednictvím rozhraní IsoDep systému Android a příkazů EMV.

Po aktivaci NFCShare shromažďuje důležité informace, včetně:

  • Číslo platební karty
  • Typ karty
  • Datum spotřeby
  • Čtyřmístný PIN kód zadaný obětí v rámci falešného bezpečnostního ověření

Ukradené informace jsou poté přenášeny do velitelsko-řídicí (C2) infrastruktury útočníků prostřednictvím komunikačního kanálu WebSocket. Tato data lze následně využít při útocích na platební relé NFC, podobných těm, které byly dříve spojovány s malwarovými kampaněmi NGate, SuperCard X a RelayNFC.

Vyvíjející se hrozba s charakteristickými znaky

Bezpečnostní výzkumníci poprvé zdokumentovali NFCShare v lednu 2026 a průběžné monitorování odhalilo neustálý vývoj a zdokonalování malwaru. Ačkoli hrozba sdílí behaviorální podobnosti s dalšími rodinami malwaru pro Android, které zneužívají technologii NFC, výzkumníci identifikovali významné rozdíly v její kódové základně, knihovnách, architektuře a metodách implementace.

Navzdory těmto rozdílům se odborníci domnívají, že NFCShare by stále mohl představovat evoluci stejného širšího ekosystému kybernetické kriminality a mohl by být provozován stejnými aktéry hrozeb, kteří jsou zodpovědní za související kampaně.

Řetězec útoků začíná bankovními phishingovými stránkami

Nedávné útoky pozorované od 14. května sledují pečlivě vytvořený infekční řetězec. Oběti jsou nejprve přesměrovány na phishingové webové stránky, které napodobují legitimní bankovní portály a požadují přihlašovací údaje k online bankovnictví. Po poskytnutí těchto informací jsou uživatelé vyzýváni k instalaci aktualizace, která se jeví jako povinná.

Oběti jsou poté přesměrovány na repozitář GitHub, který obsahuje škodlivé soubory APK pro Android. Výzkumníci také poznamenávají, že SMS zprávy a telefonní hovory od osob vydávajících se za zástupce bank by mohly být potenciálně začleněny do procesu sociálního inženýrství, ačkoli tyto techniky dosud nebyly přímo pozorovány v kampaních NFCShare.

Repozitář GitHub hostuje desítky falešných bankovních aplikací

Repozitář GitHub, který byl použit k distribuci malwaru, byl vytvořen 10. dubna a již obsahuje 56 unikátních škodlivých souborů APK, které se vydávají za bankovní aplikace a cílí především na zákazníky v Itálii a Španělsku. Mezi příklady patří:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte a Mooney Carte
  • CaixaBank, CaixaBankNfc a CaixaReactivaTarjeta

Výzkumníci dříve informovali, že NFCShare se v lednu 2026 zaměřil pouze na zákazníky Deutsche Bank v Německu. Nejnovější zjištění naznačují, že provozovatelé malwaru výrazně rozšířili svůj cílový rozsah po celé Evropě.

Techniky zamlžování navržené tak, aby komplikovaly analýzu

Jedním z nejvýznamnějších vylepšení v nejnovějších variantách NFCShare je použití technik balení chybně formátovaných APK souborů, které mají narušit automatickou analýzu malwaru a potenciálně narušit některé bezpečnostní nástroje.

Přestože soubory APK zůstávají standardními ZIP archivy, novější vzorky obsahují záměrně poškozené cesty k souborům. Tyto manipulované cesty mohou způsobit, že některé nástroje pro extrakci nesprávně interpretují interní relativní cesty jako skutečná umístění v souborovém systému, což vede k chybám při zpracování a neúspěšným pokusům o analýzu.

Tato technika však nezabraňuje ručnímu prověřování ani obnově kódu. Místo toho primárně komplikuje pracovní postupy statické analýzy a brání automatizovaným detekčním mechanismům.

Ochrana před infekcemi NFCShare

Bezpečnostní experti doporučují uživatelům Androidu stahovat bankovní aplikace výhradně z důvěryhodných a renomovaných zdrojů, jako jsou oficiální obchody s aplikacemi nebo ověřené bankovní webové stránky. Uživatelé by měli být také opatrní, pokud se setkají s neočekávanými ověřovacími postupy, zejména s těmi, které vyžadují skenování NFC karet nebo jiné neobvyklé bezpečnostní kontroly, protože by mohly naznačovat pokus o získání citlivých finančních informací.

Trendy

Podvod s cenovou nabídkou a technickými detaily...

Phishing, Spam
Kyberzločinci neustále zdokonalují své taktiky, aby podvodné e-maily vypadaly přesvědčivě, a proto je ostražitost nezbytná vždy, když do schránky dorazí neočekávaná zpráva. I e-maily, které se zdají být profesionální a obchodní, mohou být pečlivě vytvořené podvody určené k odcizení citlivých informací. E-mailová kampaň „Citace a technické detaily“ je jednou z takových hrozeb. Ačkoli zprávy...

Nejvíce shlédnuto

Načítání...