NFCShare एंड्रॉइड मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने एंड्रॉइड मैलवेयर NFCShare के नए वेरिएंट की पहचान की है, जो GitHub पर होस्ट किए गए वैध बैंकिंग एप्लिकेशन के नकली अपडेट के माध्यम से वितरित किए जा रहे हैं। यह खतरा अपने पिछले संस्करणों से काफी विकसित हो चुका है और अब भुगतान कार्ड की जानकारी चुराने के उद्देश्य से परिष्कृत फ़िशिंग अभियानों के माध्यम से यूरोप भर के कई बैंकों और वित्तीय संस्थानों के ग्राहकों को निशाना बना रहा है।

NFCShare संवेदनशील कार्ड डेटा कैसे चुराता है

यह हमला सोशल इंजीनियरिंग तकनीकों पर आधारित है जो पीड़ितों को एक फर्जी सत्यापन प्रक्रिया में शामिल होने के लिए राजी कर लेती हैं। उपयोगकर्ताओं को अपने भुगतान कार्ड को अपने मोबाइल डिवाइस के नियर-फील्ड कम्युनिकेशन (एनएफसी) चिप के पास रखने के लिए कहा जाता है, जिससे मैलवेयर एंड्रॉइड के आइसोडेप इंटरफेस और ईएमवी कमांड के माध्यम से कार्ड डेटा तक पहुंच प्राप्त कर लेता है।

एक बार सक्रिय हो जाने पर, NFCShare महत्वपूर्ण जानकारी एकत्र करता है, जिसमें शामिल हैं:

• भुगतान कार्ड संख्या
• कार्ड का प्रकार
• समाप्ति तिथि
• पीड़ित द्वारा फर्जी सुरक्षा सत्यापन प्रक्रिया के तहत दर्ज किया गया चार अंकों का पिन कोड

चोरी की गई जानकारी को वेबसॉकेट संचार चैनल के माध्यम से हमलावरों के कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर में भेजा जाता है। इस डेटा का उपयोग बाद में NGate, SuperCard X और RelayNFC मैलवेयर अभियानों से जुड़े NFC भुगतान रिले हमलों के समान हमलों में किया जा सकता है।

विशिष्ट विशेषताओं वाला एक विकसित होता खतरा

NFCShare को सुरक्षा शोधकर्ताओं द्वारा जनवरी 2026 में पहली बार प्रलेखित किया गया था, और निरंतर निगरानी से मैलवेयर के लगातार विकास और परिष्करण का पता चला है। हालांकि यह खतरा NFC तकनीक का उपयोग करने वाले अन्य एंड्रॉइड मैलवेयर परिवारों के साथ व्यवहारिक समानताएं रखता है, शोधकर्ताओं ने इसके कोडबेस, लाइब्रेरी, आर्किटेक्चर और कार्यान्वयन विधियों में उल्लेखनीय अंतरों की पहचान की है।

इन भिन्नताओं के बावजूद, विशेषज्ञों का मानना है कि NFCShare अभी भी उसी व्यापक साइबर आपराधिक पारिस्थितिकी तंत्र का एक विकसित रूप हो सकता है और इसे उन्हीं अपराधियों द्वारा संचालित किया जा सकता है जो संबंधित अभियानों के लिए जिम्मेदार हैं।

हमले की शुरुआत बैंकिंग फ़िशिंग पेजों से होती है।

14 मई से देखे गए हालिया हमले एक सुनियोजित संक्रमण श्रृंखला का अनुसरण करते हैं। पीड़ितों को पहले उन फ़िशिंग वेबसाइटों पर भेजा जाता है जो वैध बैंकिंग पोर्टलों की नकल करती हैं और ऑनलाइन बैंकिंग क्रेडेंशियल मांगती हैं। यह जानकारी देने के बाद, उपयोगकर्ताओं को एक अनिवार्य बैंकिंग एप्लिकेशन अपडेट जैसा दिखने वाला सॉफ़्टवेयर इंस्टॉल करने के लिए प्रोत्साहित किया जाता है।

इसके बाद पीड़ितों को GitHub पर मौजूद दुर्भावनापूर्ण Android APK फ़ाइलों वाले एक रिपॉज़िटरी पर भेज दिया जाता है। शोधकर्ताओं ने यह भी बताया है कि बैंक प्रतिनिधियों के रूप में खुद को पेश करने वाले व्यक्तियों के एसएमएस संदेश और फ़ोन कॉल को भी सोशल-इंजीनियरिंग प्रक्रिया में शामिल किया जा सकता है, हालांकि NFCShare अभियानों में इन तकनीकों को अभी तक प्रत्यक्ष रूप से नहीं देखा गया है।

GitHub रिपॉजिटरी में दर्जनों फर्जी बैंकिंग एप्लिकेशन मौजूद हैं।

मालवेयर को वितरित करने के लिए इस्तेमाल की गई GitHub रिपॉजिटरी 10 अप्रैल को बनाई गई थी और इसमें पहले से ही बैंकिंग एप्लिकेशन का रूप धारण करने वाली 56 अद्वितीय दुर्भावनापूर्ण APK फाइलें मौजूद हैं, जो मुख्य रूप से इटली और स्पेन के ग्राहकों को निशाना बना रही हैं। उदाहरणों में शामिल हैं:

• इंटेसा कार्टे, सेला कार्टे, बंका सेला कार्टे, नेक्सी कार्टे, फिडुरम कार्टे और मूनी कार्टे
• CaixaBank, CaixaBankNfc, और CaixaReactivaTarjeta

शोधकर्ताओं ने पहले बताया था कि एनएफसीशेयर ने जनवरी 2026 के दौरान जर्मनी में केवल ड्यूश बैंक के ग्राहकों को निशाना बनाया था। नवीनतम निष्कर्षों से पता चलता है कि मैलवेयर ऑपरेटरों ने पूरे यूरोप में अपने लक्ष्यीकरण के दायरे को काफी हद तक बढ़ा दिया है।

विश्लेषण को जटिल बनाने के लिए डिज़ाइन की गई अस्पष्टीकरण तकनीकें

नवीनतम NFCShare संस्करणों में सबसे उल्लेखनीय सुधारों में से एक विकृत APK पैकेजिंग तकनीकों का उपयोग है, जिसका उद्देश्य स्वचालित मैलवेयर विश्लेषण को बाधित करना और संभावित रूप से कुछ सुरक्षा उपकरणों में हस्तक्षेप करना है।

हालांकि APK फाइलें मानक ZIP आर्काइव ही रहती हैं, लेकिन नए नमूनों में जानबूझकर गलत तरीके से बनाए गए फ़ाइल पथ शामिल हैं। इन बदले हुए पथों के कारण कुछ एक्सट्रैक्शन टूल आंतरिक सापेक्ष पथों को वास्तविक फ़ाइल सिस्टम स्थानों के रूप में गलत समझ सकते हैं, जिसके परिणामस्वरूप प्रोसेसिंग त्रुटियां और विश्लेषण के प्रयास विफल हो सकते हैं।

हालांकि, यह तकनीक मैन्युअल जांच या कोड पुनर्प्राप्ति को नहीं रोकती है। बल्कि, यह मुख्य रूप से स्थैतिक विश्लेषण कार्यप्रवाह को जटिल बनाती है और स्वचालित पहचान तंत्रों में बाधा डालती है।

NFCShare संक्रमणों से सुरक्षा

सुरक्षा विशेषज्ञ एंड्रॉइड उपयोगकर्ताओं को सलाह देते हैं कि वे बैंकिंग एप्लिकेशन केवल विश्वसनीय और प्रतिष्ठित स्रोतों, जैसे आधिकारिक ऐप स्टोर या सत्यापित बैंकिंग वेबसाइटों से ही डाउनलोड करें। उपयोगकर्ताओं को अप्रत्याशित सत्यापन प्रक्रियाओं, विशेष रूप से एनएफसी कार्ड स्कैन या अन्य असामान्य सुरक्षा जांचों का सामना करने पर सावधानी बरतनी चाहिए, क्योंकि ये संवेदनशील वित्तीय जानकारी प्राप्त करने का प्रयास हो सकता है।