Rabattilbud med flere licenser
Trusseldatabase Mobil malware NFCShare Android-malware

NFCShare Android-malware

Med Mezo i Mobil malware
Oversæt til:

Cybersikkerhedsforskere har identificeret nye varianter af Android-malwaren NFCShare, der distribueres via falske opdateringer til legitime bankapplikationer, der hostes på GitHub. Truslen har udviklet sig betydeligt fra sine tidligere versioner og er nu rettet mod kunder hos flere banker og finansielle institutioner i hele Europa gennem sofistikerede phishing-operationer designet til at stjæle betalingskortoplysninger.

Hvordan NFCShare stjæler følsomme kortdata

Angrebet bruger social engineering-teknikker, der overbeviser ofrene om at interagere med en svigagtig verifikationsproces. Brugerne bliver bedt om at placere deres betalingskort i nærheden af deres mobilenheds NFC-chip (near-field communication), hvilket giver malwaren adgang til kortdata via Androids IsoDep-grænseflade og EMV-kommandoer.

Når NFCShare er aktiveret, indsamler den vigtige oplysninger, herunder:

  • Betalingskortnummer
  • Korttype
  • Udløbsdato
  • Firecifret pinkode indtastet af offeret som en del af en falsk sikkerhedsverifikationsproces

De stjålne oplysninger overføres derefter til angribernes kommando- og kontrolinfrastruktur (C2) via en WebSocket-kommunikationskanal. Disse data kan efterfølgende udnyttes i NFC-betalingsrelæangreb svarende til dem, der tidligere er forbundet med NGate-, SuperCard X- og RelayNFC-malwarekampagner.

En udviklende trussel med særlige karakteristika

NFCShare blev første gang dokumenteret af sikkerhedsforskere i januar 2026, og løbende overvågning har afsløret kontinuerlig udvikling og forfining af malwaren. Selvom truslen deler adfærdsmæssige ligheder med andre Android-malwarefamilier, der udnytter NFC-teknologi, har forskere identificeret bemærkelsesværdige forskelle i dens kodebase, biblioteker, arkitektur og implementeringsmetoder.

Trods disse forskelle mener eksperter, at NFCShare stadig kan repræsentere en udvikling af det samme bredere cyberkriminelle økosystem og muligvis drives af de samme trusselsaktører, der er ansvarlige for relaterede kampagner.

Angrebskæden begynder med bankphishing-sider

Nylige angreb observeret siden 14. maj følger en omhyggeligt udformet infektionskæde. Ofrene bliver først dirigeret til phishing-websteder, der imiterer legitime bankportaler og anmoder om netbankoplysninger. Efter at have angivet disse oplysninger opfordres brugerne til at installere, hvad der ser ud til at være en obligatorisk opdatering til bankapplikationen.

Ofrene bliver derefter omdirigeret til et GitHub-arkiv, der hoster ondsindede Android APK-filer. Forskere bemærker også, at SMS-beskeder og telefonopkald fra personer, der udgiver sig for at være bankrepræsentanter, potentielt kan blive indarbejdet i social engineering-processen, selvom disse teknikker endnu ikke er blevet observeret direkte i NFCShare-kampagner.

GitHub Repository er vært for snesevis af falske bankapplikationer

GitHub-arkivet, der blev brugt til at distribuere malwaren, blev oprettet den 10. april og har allerede indeholdt 56 unikke ondsindede APK-filer, der udgiver sig for bankapplikationer, primært rettet mod kunder i Italien og Spanien. Eksempler inkluderer:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte og Mooney Carte
  • CaixaBank, CaixaBankNfc og CaixaReactivaTarjeta

Forskere rapporterede tidligere, at NFCShare kun målrettede Deutsche Bank-kunder i Tyskland i januar 2026. De seneste resultater tyder på, at malware-operatørerne har udvidet deres målretningsområde betydeligt i hele Europa.

Obfuskationsteknikker designet til at komplicere analyse

En af de mest bemærkelsesværdige forbedringer i de seneste NFCShare-varianter er brugen af misdannede APK-pakningsteknikker, der har til formål at forstyrre automatiseret malwareanalyse og potentielt forstyrre visse sikkerhedsværktøjer.

Selvom APK-filerne forbliver standard ZIP-arkiver, indeholder de nyere eksempler bevidst misdannede filstier. Disse manipulerede stier kan forårsage, at nogle udtrækningsværktøjer misfortolker interne relative stier som faktiske filsystemplaceringer, hvilket resulterer i behandlingsfejl og mislykkede analyseforsøg.

Denne teknik forhindrer dog ikke manuel undersøgelse eller kodegendannelse. I stedet tjener den primært til at komplicere statiske analysearbejdsgange og hindre automatiserede detektionsmekanismer.

Beskyttelse mod NFCShare-infektioner

Sikkerhedseksperter råder Android-brugere til udelukkende at downloade bankapplikationer fra pålidelige og velrenommerede kilder, såsom officielle appbutikker eller verificerede bankwebsteder. Brugere bør også udvise forsigtighed, når de konfronteres med uventede verifikationsprocedurer, især dem, der anmoder om NFC-kortscanninger eller andre usædvanlige sikkerhedskontroller, da disse kan indikere et forsøg på at stjæle følsomme finansielle oplysninger.

Trending

Mest sete

Indlæser...