Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma NFCShare Android-haittaohjelma

NFCShare Android-haittaohjelma

Vuonna Mezo vuonna Mobiili haittaohjelma
Käännä:

Kyberturvallisuustutkijat ovat tunnistaneet uusia Android-haittaohjelman NFCShare-variantteja, joita levitetään GitHubissa isännöityjen laillisten pankkisovellusten väärennettyjen päivitysten kautta. Uhka on kehittynyt merkittävästi aiemmista versioistaan ja kohdistaa nyt iskuja useiden pankkien ja rahoituslaitosten asiakkaisiin ympäri Eurooppaa hienostuneiden tietojenkalasteluoperaatioiden avulla, joiden tarkoituksena on varastaa maksukorttitietoja.

Miten NFCShare varastaa arkaluonteisia korttitietoja

Hyökkäys perustuu sosiaalisen manipuloinnin tekniikoihin, jotka suostuttelevat uhrit vuorovaikutukseen vilpillisen vahvistusprosessin kanssa. Käyttäjiä ohjeistetaan asettamaan maksukorttinsa mobiililaitteensa NFC-sirun lähelle, jolloin haittaohjelma voi käyttää korttitietoja Androidin IsoDep-käyttöliittymän ja EMV-komentojen kautta.

Aktivoinnin jälkeen NFCShare kerää kriittisiä tietoja, mukaan lukien:

  • Maksukortin numero
  • Kortin tyyppi
  • Voimassaolopäivä
  • Uhrin väärennetyn turvatarkistusprosessin osana syöttämä nelinumeroinen PIN-koodi

Varastetut tiedot lähetetään sitten hyökkääjien komento- ja ohjausinfrastruktuuriin (C2) WebSocket-tietoliikennekanavan kautta. Näitä tietoja voidaan myöhemmin hyödyntää NFC-maksujen välityshyökkäyksissä, jotka ovat samankaltaisia kuin aiemmin NGate-, SuperCard X- ja RelayNFC-haittaohjelmakampanjoissa.

Kehittyvä uhka, jolla on selkeät ominaisuudet

NFCShare-haittaohjelman dokumentoivat ensimmäisen kerran tietoturvatutkijat tammikuussa 2026, ja jatkuva seuranta on paljastanut haittaohjelman jatkuvan kehityksen ja hienosäädön. Vaikka uhka muistuttaa käyttäytymiseltään muita NFC-teknologiaa hyödyntäviä Android-haittaohjelmaperheitä, tutkijat ovat havainneet huomattavia eroja sen koodikannassa, kirjastoissa, arkkitehtuurissa ja toteutustavoissa.

Näistä eroista huolimatta asiantuntijat uskovat, että NFCShare voi silti edustaa saman laajemman kyberrikollisuuden ekosysteemin kehitystä ja sitä saattavat ylläpitää samat uhkatoimijat, jotka ovat vastuussa myös siihen liittyvistä kampanjoista.

Hyökkäysketju alkaa pankkitietojenkalastelusivuilla

Toukokuun 14. päivästä lähtien havaitut hyökkäykset seuraavat huolellisesti suunniteltua tartuntaketjua. Uhrit ohjataan ensin tietojenkalastelusivustoille, jotka jäljittelevät laillisia pankkiportaaleja ja pyytävät verkkopankkitunnuksia. Näiden tietojen antamisen jälkeen käyttäjiä kehotetaan asentamaan näennäisesti pakollinen pankkisovelluksen päivitys.

Uhrit ohjataan sitten GitHub-arkistoon, joka sisältää haitallisia Android APK -tiedostoja. Tutkijat huomauttavat myös, että pankkien edustajiksi tekeytyvien henkilöiden tekstiviestit ja puhelut voitaisiin mahdollisesti sisällyttää sosiaalisen manipuloinnin prosessiin, vaikka näitä tekniikoita ei ole vielä suoraan havaittu NFCShare-kampanjoissa.

GitHubin arkisto isännöi kymmeniä väärennettyjä pankkisovelluksia

Haittaohjelman levittämiseen käytetty GitHub-arkisto luotiin 10. huhtikuuta, ja se on jo isännöinyt 56 ainutlaatuista haitallista APK-tiedostoa, jotka jäljittelevät pankkisovelluksia ja kohdistuvat ensisijaisesti asiakkaisiin Italiassa ja Espanjassa. Esimerkkejä ovat:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte ja Mooney Carte
  • CaixaBank, CaixaBankNfc ja CaixaReactivaTarjeta

Tutkijat raportoivat aiemmin, että NFCShare kohdisti hyökkäyksensä tammikuussa 2026 vain Deutsche Bankin asiakkaisiin Saksassa. Viimeisimmät havainnot viittaavat siihen, että haittaohjelmien ylläpitäjät ovat laajentaneet kohdistamisensa laajuutta merkittävästi kaikkialla Euroopassa.

Analyysin vaikeuttamiseksi suunnitellut hämärtämistekniikat

Yksi merkittävimmistä parannuksista uusimmissa NFCShare-versioissa on väärin muotoiltujen APK-pakkaustekniikoiden käyttö, joiden tarkoituksena on häiritä automaattista haittaohjelma-analyysiä ja mahdollisesti häiritä tiettyjä tietoturvatyökaluja.

Vaikka APK-tiedostot ovat edelleen tavallisia ZIP-arkistoja, uudemmat esimerkit sisältävät tarkoituksella väärin muotoiltuja tiedostopolkuja. Nämä muokatut polut voivat saada jotkut poimintatyökalut tulkitsemaan sisäiset suhteelliset polut virheellisesti tiedostojärjestelmän todellisiksi sijainneiksi, mikä johtaa käsittelyvirheisiin ja epäonnistuneisiin analyysiyrityksiin.

Tämä tekniikka ei kuitenkaan estä manuaalista tutkimista tai koodin palauttamista. Sen sijaan se ensisijaisesti monimutkaistaa staattisen analyysin työnkulkuja ja estää automatisoituja tunnistusmekanismeja.

Suojautuminen NFCShare-tartuntoja vastaan

Tietoturva-asiantuntijat neuvovat Android-käyttäjiä lataamaan pankkisovelluksia yksinomaan luotettavista ja hyvämaineisista lähteistä, kuten virallisista sovelluskaupoista tai varmennetuista pankkisivustoista. Käyttäjien tulisi myös olla varovaisia odottamattomien vahvistusmenettelyjen, erityisesti NFC-korttiskannauksia tai muita epätavallisia turvatarkastuksia pyytävien menettelyjen, suhteen, sillä ne voivat viitata yritykseen kerätä arkaluonteisia taloustietoja.

Trendaavat

Tarjous- ja teknisten tietojen sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Kyberrikolliset hiovat jatkuvasti taktiikoitaan saadakseen huijaussähköpostit vaikuttamaan vakuuttavilta, minkä vuoksi valppaus on välttämätöntä aina, kun odottamaton viesti saapuu postilaatikkoon. Jopa sähköpostit, jotka vaikuttavat ammattimaisilta ja liiketoimintaan liittyviltä, voivat olla huolellisesti suunniteltuja huijauksia, joiden tarkoituksena on varastaa arkaluonteisia tietoja....

Eniten katsottu

Ladataan...