Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara NFCShare'i Androidi pahavara

NFCShare'i Androidi pahavara

Aastaks Mezo aastal Mobiilne pahavara
Tõlgi:

Küberturvalisuse uurijad on tuvastanud Androidi pahavara NFCShare uusi variante, mida levitatakse GitHubis majutatud legitiimsete pangandusrakenduste võltsitud värskenduste kaudu. Oht on oma varasematest versioonidest oluliselt arenenud ja sihib nüüd mitmete pankade ja finantsasutuste kliente kogu Euroopas keerukate andmepüügioperatsioonide abil, mille eesmärk on varastada maksekaardiandmeid.

Kuidas NFCShare varastab tundlikke kaardiandmeid

Rünnak tugineb sotsiaalse manipuleerimise tehnikatele, mis veenavad ohvreid petturliku verifitseerimisprotsessiga suhtlema. Kasutajatele antakse juhised asetada oma maksekaardid mobiilseadme lähiväljaside (NFC) kiibi lähedale, mis võimaldab pahavaral pääseda ligi kaardiandmetele Androidi IsoDep-liidese ja EMV-käskude kaudu.

Pärast aktiveerimist kogub NFCShare olulist teavet, sealhulgas:

  • Maksekaardi number
  • Kaardi tüüp
  • Aegumiskuupäev
  • Ohvri poolt võltsitud turvakontrolli käigus sisestatud neljakohaline PIN-kood

Varastatud teave edastatakse seejärel ründajate juhtimis- ja juhtimisinfrastruktuuri (C2) WebSocketi sidekanali kaudu. Neid andmeid saab hiljem ära kasutada NFC-maksete edastamise rünnakutes, mis sarnanevad varem NGate'i, SuperCard X ja RelayNFC pahavarakampaaniatega seostatud rünnakutega.

Erinevate omadustega arenev oht

NFCShare'i dokumenteerisid turvaeksperdid esmakordselt 2026. aasta jaanuaris ning pidev jälgimine on näidanud pahavara pidevat arendamist ja täiustumist. Kuigi ohul on käitumises sarnasusi teiste NFC-tehnoloogiat kasutavate Androidi pahavaraperekondadega, on teadlased tuvastanud märkimisväärseid erinevusi selle koodibaasis, teekides, arhitektuuris ja rakendusmeetodites.

Vaatamata neile erinevustele usuvad eksperdid, et NFCShare võib siiski esindada sama laiema küberkuritegevuse ökosüsteemi evolutsioonilist arengut ning seda võivad hallata samad ohutegijad, kes vastutavad ka seotud kampaaniate eest.

Rünnakuahel algab panganduspettuste lehtedest

Alates 14. maist täheldatud rünnakud järgivad hoolikalt üles ehitatud nakkusahelat. Ohvrid suunatakse esmalt andmepüügisaitidele, mis jäljendavad seaduslikke pangaportaale ja küsivad internetipanga sisselogimisandmeid. Pärast selle teabe esitamist julgustatakse kasutajaid installima midagi, mis näib olevat kohustuslik pangarakenduse värskendus.

Seejärel suunatakse ohvrid GitHubi hoidlasse, kus majutatakse pahatahtlikke Androidi APK-faile. Teadlased märgivad ka, et panga esindajatena esinevate isikute SMS-sõnumid ja telefonikõned võidakse potentsiaalselt kaasata sotsiaalse manipuleerimise protsessi, kuigi neid tehnikaid pole NFCShare'i kampaaniates veel otseselt täheldatud.

GitHubi hoidla majutab kümneid võltsitud pangandusrakendusi

Pahavara levitamiseks kasutatav GitHubi hoidla loodi 10. aprillil ja see on juba majutanud 56 unikaalset pahatahtlikku APK-faili, mis imiteerivad pangandusrakendusi ja on peamiselt suunatud klientidele Itaalias ja Hispaanias. Näited hõlmavad järgmist:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte ja Mooney Carte
  • CaixaBank, CaixaBankNfc ja CaixaReactivaTarjeta

Varem teatasid teadlased, et NFCShare sihtis 2026. aasta jaanuaris ainult Deutsche Banki kliente Saksamaal. Viimased leiud näitavad, et pahavara operaatorid on oma sihtrühma ulatust kogu Euroopas märkimisväärselt laiendanud.

Analüüsi keerulisemaks muutmiseks loodud hägustamistehnikad

Üks tähelepanuväärsemaid täiustusi NFCShare'i uusimates variantides on valesti vormindatud APK-de pakkimistehnikate kasutamine, mille eesmärk on häirida automatiseeritud pahavara analüüsi ja potentsiaalselt häirida teatud turvatööriistu.

Kuigi APK-failid jäävad standardseteks ZIP-arhiivideks, sisaldavad uuemad näidised tahtlikult valesti vormindatud failiteid. Need manipuleeritud teed võivad põhjustada mõnede ekstraktimistööriistade sisemiste suhteliste teede valesti tõlgendamist tegelike failisüsteemi asukohtadena, mille tulemuseks on töötlemisvead ja analüüsikatsete ebaõnnestumine.

See tehnika ei takista aga käsitsi uurimist ega koodi taastamist. Selle asemel raskendab see peamiselt staatilise analüüsi töövooge ja takistab automatiseeritud tuvastusmehhanisme.

NFCShare’i nakkuste eest kaitsmine

Turvaeksperdid soovitavad Androidi kasutajatel pangandusrakendusi alla laadida ainult usaldusväärsetest ja hea mainega allikatest, näiteks ametlikest rakenduste poodidest või kontrollitud pangandusveebisaitidelt. Kasutajad peaksid olema ettevaatlikud ka ootamatute kinnitusprotseduuride korral, eriti kui need nõuavad NFC-kaardi skannimist või muid ebatavalisi turvakontrolle, kuna need võivad viidata katsele hankida tundlikku finantsteavet.

Trendikas

Pakkumiste ja tehniliste üksikasjade e-posti pettus

Andmepüük, Rämpspost
Küberkurjategijad täiustavad pidevalt oma taktikat, et petturlikud meilid veenvalt paistaksid, mistõttu on ootamatu sõnumi saabumisel oluline olla valvas. Isegi professionaalse ja ärilise sõnumina tunduvad meilid võivad olla hoolikalt koostatud pettused, mille eesmärk on varastada tundlikku teavet. Meilikampaania „Pakkumine ja tehnilised üksikasjad” on üks selline oht. Kuigi sõnumid väidavad...

Enim vaadatud

Laadimine...