Κακόβουλο λογισμικό NFCShare για Android
Ερευνητές κυβερνοασφάλειας εντόπισαν νέες παραλλαγές του κακόβουλου λογισμικού για Android NFCShare που διανέμονται μέσω ψεύτικων ενημερώσεων για νόμιμες τραπεζικές εφαρμογές που φιλοξενούνται στο GitHub. Η απειλή έχει εξελιχθεί σημαντικά από τις προηγούμενες εκδόσεις της και πλέον στοχεύει πελάτες πολλαπλών τραπεζών και χρηματοπιστωτικών ιδρυμάτων σε όλη την Ευρώπη μέσω εξελιγμένων επιχειρήσεων ηλεκτρονικού "ψαρέματος" (phishing) που έχουν σχεδιαστεί για να κλέβουν πληροφορίες καρτών πληρωμής.
Πίνακας περιεχομένων
Πώς το NFCShare κλέβει ευαίσθητα δεδομένα κάρτας
Η επίθεση βασίζεται σε τεχνικές κοινωνικής μηχανικής που πείθουν τα θύματα να αλληλεπιδράσουν με μια δόλια διαδικασία επαλήθευσης. Οι χρήστες λαμβάνουν οδηγίες να τοποθετούν τις κάρτες πληρωμής τους κοντά στο τσιπ επικοινωνίας κοντινού πεδίου (NFC) της κινητής τους συσκευής, επιτρέποντας στο κακόβουλο λογισμικό να έχει πρόσβαση στα δεδομένα της κάρτας μέσω της διεπαφής IsoDep του Android και των εντολών EMV.
Μόλις ενεργοποιηθεί, το NFCShare συλλέγει κρίσιμες πληροφορίες, όπως:
- Αριθμός κάρτας πληρωμής
- Τύπος κάρτας
- Ημερομηνία λήξης
- Τετραψήφιος κωδικός PIN που εισήγαγε το θύμα ως μέρος μιας ψεύτικης διαδικασίας επαλήθευσης ασφαλείας
Οι κλεμμένες πληροφορίες μεταδίδονται στη συνέχεια στην υποδομή command-and-control (C2) των εισβολέων μέσω ενός καναλιού επικοινωνίας WebSocket. Αυτά τα δεδομένα μπορούν στη συνέχεια να αξιοποιηθούν σε επιθέσεις αναμετάδοσης πληρωμών NFC παρόμοιες με εκείνες που είχαν συσχετιστεί προηγουμένως με τις καμπάνιες κακόβουλου λογισμικού NGate, SuperCard X και RelayNFC.
Μια εξελισσόμενη απειλή με ξεχωριστά χαρακτηριστικά
Το NFCShare καταγράφηκε για πρώτη φορά από ερευνητές ασφαλείας τον Ιανουάριο του 2026 και η συνεχής παρακολούθηση έχει αποκαλύψει συνεχή ανάπτυξη και βελτίωση του κακόβουλου λογισμικού. Παρόλο που η απειλή έχει ομοιότητες συμπεριφοράς με άλλες οικογένειες κακόβουλου λογισμικού Android που εκμεταλλεύονται την τεχνολογία NFC, οι ερευνητές έχουν εντοπίσει αξιοσημείωτες διαφορές στη βάση κώδικα, τις βιβλιοθήκες, την αρχιτεκτονική και τις μεθόδους υλοποίησης.
Παρά τις διακρίσεις αυτές, οι ειδικοί πιστεύουν ότι το NFCShare θα μπορούσε να αποτελεί εξέλιξη του ίδιου ευρύτερου οικοσυστήματος κυβερνοεγκλημάτων και να λειτουργεί από τους ίδιους απειλητικούς παράγοντες που είναι υπεύθυνοι για σχετικές εκστρατείες.
Η αλυσίδα επιθέσεων ξεκινά με σελίδες ηλεκτρονικού “ψαρέματος” τραπεζών
Οι πρόσφατες επιθέσεις που παρατηρήθηκαν από τις 14 Μαΐου ακολουθούν μια προσεκτικά σχεδιασμένη αλυσίδα μόλυνσης. Τα θύματα κατευθύνονται πρώτα σε ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing) που μιμούνται νόμιμες τραπεζικές πύλες και ζητούν διαπιστευτήρια ηλεκτρονικής τραπεζικής. Αφού παρέχουν αυτές τις πληροφορίες, οι χρήστες ενθαρρύνονται να εγκαταστήσουν αυτό που φαίνεται να είναι μια υποχρεωτική ενημέρωση τραπεζικής εφαρμογής.
Στη συνέχεια, τα θύματα ανακατευθύνονται σε ένα αποθετήριο GitHub που φιλοξενεί κακόβουλα αρχεία APK Android. Οι ερευνητές σημειώνουν επίσης ότι τα μηνύματα SMS και οι τηλεφωνικές κλήσεις από άτομα που παρουσιάζονται ως εκπρόσωποι τραπεζών θα μπορούσαν ενδεχομένως να ενσωματωθούν στη διαδικασία κοινωνικής μηχανικής, αν και αυτές οι τεχνικές δεν έχουν ακόμη παρατηρηθεί άμεσα σε καμπάνιες NFCShare.
Το αποθετήριο GitHub φιλοξενεί δεκάδες ψεύτικες τραπεζικές εφαρμογές
Το αποθετήριο GitHub που χρησιμοποιήθηκε για τη διανομή του κακόβουλου λογισμικού δημιουργήθηκε στις 10 Απριλίου και έχει ήδη φιλοξενήσει 56 μοναδικά κακόβουλα αρχεία APK που μιμούνται τραπεζικές εφαρμογές, στοχεύοντας κυρίως πελάτες στην Ιταλία και την Ισπανία. Παραδείγματα περιλαμβάνουν:
- Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte και Mooney Carte
- CaixaBank, CaixaBankNfc και CaixaReactivaTarjeta
Οι ερευνητές ανέφεραν προηγουμένως ότι το NFCShare στόχευε μόνο πελάτες της Deutsche Bank στη Γερμανία κατά τη διάρκεια του Ιανουαρίου 2026. Τα τελευταία ευρήματα υποδηλώνουν ότι οι φορείς εκμετάλλευσης κακόβουλου λογισμικού έχουν επεκτείνει σημαντικά το εύρος στόχευσής τους σε όλη την Ευρώπη.
Τεχνικές συσκότισης που έχουν σχεδιαστεί για να περιπλέκουν την ανάλυση
Μία από τις πιο αξιοσημείωτες βελτιώσεις στις τελευταίες παραλλαγές του NFCShare είναι η χρήση τεχνικών συσκευασίας λανθασμένης μορφής APK που αποσκοπούν στη διατάραξη της αυτοματοποιημένης ανάλυσης κακόβουλου λογισμικού και ενδεχομένως στην παρεμβολή σε ορισμένα εργαλεία ασφαλείας.
Παρόλο που τα αρχεία APK παραμένουν τυπικά αρχεία ZIP, τα νεότερα δείγματα περιέχουν σκόπιμα παραμορφωμένες διαδρομές αρχείων. Αυτές οι παραποιημένες διαδρομές μπορούν να προκαλέσουν σε ορισμένα εργαλεία εξαγωγής την εσφαλμένη ερμηνεία των εσωτερικών σχετικών διαδρομών ως πραγματικών θέσεων του συστήματος αρχείων, με αποτέλεσμα σφάλματα επεξεργασίας και αποτυχημένες προσπάθειες ανάλυσης.
Ωστόσο, αυτή η τεχνική δεν εμποδίζει τη χειροκίνητη διερεύνηση ή την ανάκτηση κώδικα. Αντίθετα, χρησιμεύει κυρίως στην περιπλοκή των ροών εργασίας στατικής ανάλυσης και εμποδίζει τους αυτοματοποιημένους μηχανισμούς ανίχνευσης.
Προστασία από μολύνσεις NFCShare
Οι ειδικοί σε θέματα ασφάλειας συμβουλεύουν τους χρήστες Android να κατεβάζουν τραπεζικές εφαρμογές αποκλειστικά από αξιόπιστες και αξιόπιστες πηγές, όπως επίσημα καταστήματα εφαρμογών ή επαληθευμένους τραπεζικούς ιστότοπους. Οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί όταν αντιμετωπίζουν απροσδόκητες διαδικασίες επαλήθευσης, ιδίως εκείνες που απαιτούν σαρώσεις καρτών NFC ή άλλους ασυνήθιστους ελέγχους ασφαλείας, καθώς αυτές μπορεί να υποδηλώνουν προσπάθεια συλλογής ευαίσθητων οικονομικών πληροφοριών.
