תוכנות זדוניות לאנדרואיד של NFCShare
חוקרי אבטחת סייבר זיהו גרסאות חדשות של הנוזקה NFCShare לאנדרואיד המופצת באמצעות עדכונים מזויפים עבור אפליקציות בנקאיות לגיטימיות המאוחסנות ב-GitHub. האיום התפתח באופן משמעותי מגרסאותיו הקודמות וכעת מכוון ללקוחות של מספר בנקים ומוסדות פיננסיים ברחבי אירופה באמצעות פעולות פישינג מתוחכמות שנועדו לגנוב מידע על כרטיסי תשלום.
תוכן העניינים
כיצד NFCShare גונב נתוני כרטיס רגישים
ההתקפה מסתמכת על טכניקות הנדסה חברתית שמשכנעות את הקורבנות לבצע אינטראקציה עם תהליך אימות הונאה. המשתמשים מתבקשים להניח את כרטיסי התשלום שלהם ליד שבב התקשורת הקרובה (NFC) של המכשיר הנייד שלהם, מה שמאפשר לתוכנה הזדונית גישה לנתוני הכרטיס דרך ממשק IsoDep של אנדרואיד ופקודות EMV.
לאחר ההפעלה, NFCShare אוסף מידע קריטי, כולל:
- מספר כרטיס תשלום
- סוג כרטיס
- תַאֲרִיך תְפוּגָה
- קוד סודי בן ארבע ספרות שהוזן על ידי הקורבן כחלק מתהליך אימות אבטחה מזויף
המידע הגנוב מועבר לאחר מכן לתשתית הפיקוד והבקרה (C2) של התוקפים דרך ערוץ תקשורת WebSocket. נתונים אלה יכולים לאחר מכן לשמש למתקפות ממסר תשלומים באמצעות NFC, בדומה לאלו שקושרו בעבר לקמפיינים של תוכנות זדוניות מסוג NGate, SuperCard X ו-RelayNFC.
איום מתפתח בעל מאפיינים ייחודיים
NFCShare תועד לראשונה על ידי חוקרי אבטחה בינואר 2026, וניטור מתמשך חשף פיתוח ושיפור מתמשכים של התוכנה הזדונית. למרות שהאיום חולק קווי דמיון התנהגותיים עם משפחות תוכנות זדוניות אחרות לאנדרואיד המנצלות את טכנולוגיית NFC, חוקרים זיהו הבדלים בולטים בבסיס הקוד, בספריות, בארכיטקטורה ובשיטות היישום שלו.
למרות ההבדלים הללו, מומחים מאמינים ש-NFCShare עדיין יכול לייצג אבולוציה של אותה מערכת אקולוגית רחבה יותר של פושעי סייבר, ועשוי להיות מופעל על ידי אותם גורמי איום האחראים לקמפיינים קשורים.
שרשרת התקיפות מתחילה בדפי פישינג בנקאיים
התקפות אחרונות שנצפו מאז ה-14 במאי עוקבות אחר שרשרת הדבקה שנבנתה בקפידה. הקורבנות מופנים תחילה לאתרי פישינג המחקים פורטלים בנקאיים לגיטימיים ומבקשים פרטי בנקאות מקוונת. לאחר מתן מידע זה, המשתמשים מתבקשים להתקין מה שנראה כעדכון חובה לאפליקציית בנקאות.
לאחר מכן, הקורבנות מופנים למאגר GitHub המארח קבצי APK זדוניים של אנדרואיד. החוקרים מציינים גם כי הודעות SMS ושיחות טלפון מאנשים המתחזים לנציגי בנק עלולות להיות משולבות בתהליך ההנדסה החברתית, אם כי טכניקות אלו טרם נצפו ישירות בקמפיינים של NFCShare.
מאגר GitHub מארח עשרות אפליקציות בנקאות מזויפות
מאגר GitHub ששימש להפצת הנוזקה נוצר ב-10 באפריל וכבר אירח 56 קבצי APK זדוניים ייחודיים המתחזים לאפליקציות בנקאיות, המכוונים בעיקר ללקוחות באיטליה ובספרד. דוגמאות לכך כוללות:
- Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte, ו-Money Carte
- CaixaBank, CaixaBankNfc ו-CaixaReactivaTarjeta
חוקרים דיווחו בעבר כי NFCShare כיוון רק ללקוחות דויטשה בנק בגרמניה במהלך ינואר 2026. הממצאים האחרונים מצביעים על כך שמפעילי התוכנות הזדוניות הרחיבו משמעותית את היקף המיקוד שלהם ברחבי אירופה.
טכניקות ערפול שנועדו לסבך את הניתוח
אחד השיפורים הבולטים ביותר בגרסאות ה-NFCShare האחרונות הוא השימוש בטכניקות אריזה פגומות של APK שנועדו לשבש ניתוח אוטומטי של תוכנות זדוניות ועלול להפריע לכלי אבטחה מסוימים.
למרות שקבצי ה-APK נותרו ארכיוני ZIP סטנדרטיים, הדוגמאות החדשות יותר מכילות נתיבי קבצים בעלי מבנה שגוי במכוון. נתיבים מניפולטיביים אלה עלולים לגרום לחלק מכלי החילוץ לפרש באופן שגוי נתיבים יחסיים פנימיים כמיקומי מערכת קבצים בפועל, וכתוצאה מכך לשגיאות עיבוד ולניסיונות ניתוח כושלים.
עם זאת, טכניקה זו אינה מונעת חקירה ידנית או שחזור קוד. במקום זאת, היא משמשת בעיקר לסיבוך תהליכי עבודה של ניתוח סטטי ומעכבת מנגנוני זיהוי אוטומטיים.
הגנה מפני זיהומים של NFCShare
מומחי אבטחה ממליצים למשתמשי אנדרואיד להוריד אפליקציות בנקאיות אך ורק ממקורות מהימנים ובעלי מוניטין, כגון חנויות אפליקציות רשמיות או אתרי בנקאות מאומתים. על המשתמשים לנקוט משנה זהירות כאשר הם נתקלים בהליכי אימות בלתי צפויים, במיוחד כאלה המבקשים סריקות כרטיסי NFC או בדיקות אבטחה חריגות אחרות, מכיוון שאלו עשויים להצביע על ניסיון לאסוף מידע פיננסי רגיש.
