Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware NFCShare Android Zlonamjerni softver

NFCShare Android Zlonamjerni softver

Do Mezo. Mobilni malware. godine
Prevedi na:

Istraživači kibernetičke sigurnosti identificirali su nove varijante Android zlonamjernog softvera NFCShare koji se distribuiraju putem lažnih ažuriranja za legitimne bankarske aplikacije hostirane na GitHubu. Prijetnja se značajno razvila u odnosu na svoje ranije verzije i sada cilja klijente više banaka i financijskih institucija diljem Europe putem sofisticiranih phishing operacija osmišljenih za krađu podataka o platnim karticama.

Kako NFCShare krade osjetljive podatke o karticama

Napad se oslanja na tehnike društvenog inženjeringa koje uvjeravaju žrtve da sudjeluju u lažnom procesu provjere. Korisnicima se daje uputa da svoje platne kartice postave blizu NFC (near-field communication) čipa svog mobilnog uređaja, što zlonamjernom softveru omogućuje pristup podacima kartice putem Androidovog IsoDep sučelja i EMV naredbi.

Nakon aktivacije, NFCShare prikuplja ključne informacije, uključujući:

  • Broj platne kartice
  • Vrsta kartice
  • Datum isteka
  • Četveroznamenkasti PIN kod koji je žrtva unijela kao dio lažnog postupka sigurnosne provjere

Ukradene informacije se zatim prenose na napadačevu infrastrukturu za zapovijedanje i kontrolu (C2) putem komunikacijskog kanala WebSocket. Ti se podaci naknadno mogu iskoristiti u napadima NFC releja plaćanja sličnim onima koji su prethodno bili povezani s kampanjama zlonamjernog softvera NGate, SuperCard X i RelayNFC.

Prijetnja u razvoju s izrazitim karakteristikama

NFCShare su prvi put dokumentirali sigurnosni istraživači u siječnju 2026., a kontinuirano praćenje otkrilo je kontinuirani razvoj i usavršavanje zlonamjernog softvera. Iako prijetnja dijeli sličnosti u ponašanju s drugim obiteljima zlonamjernog softvera za Android koje iskorištavaju NFC tehnologiju, istraživači su identificirali značajne razlike u njegovoj kodnoj bazi, bibliotekama, arhitekturi i metodama implementacije.

Unatoč tim razlikama, stručnjaci vjeruju da bi NFCShare i dalje mogao predstavljati evoluciju istog šireg ekosustava kibernetičkog kriminala te da bi njime mogli upravljati isti akteri prijetnji odgovorni za povezane kampanje.

Lanac napada počinje s bankarskim phishing stranicama

Nedavni napadi uočeni od 14. svibnja slijede pažljivo osmišljen lanac zaraze. Žrtve se prvo usmjeravaju na phishing web stranice koje oponašaju legitimne bankarske portale i traže vjerodajnice za online bankarstvo. Nakon što pruže te podatke, korisnicima se preporučuje da instaliraju ono što se čini kao obavezno ažuriranje bankarske aplikacije.

Žrtve se zatim preusmjeravaju na GitHub repozitorij koji sadrži zlonamjerne Android APK datoteke. Istraživači također napominju da bi SMS poruke i telefonski pozivi pojedinaca koji se predstavljaju kao predstavnici banke mogli biti uključeni u proces društvenog inženjeringa, iako te tehnike još nisu izravno uočene u NFCShare kampanjama.

GitHub repozitorij sadrži desetke lažnih bankarskih aplikacija

GitHub repozitorij korišten za distribuciju zlonamjernog softvera kreiran je 10. travnja i već je sadržavao 56 jedinstvenih zlonamjernih APK datoteka koje se lažno predstavljaju kao bankarske aplikacije, prvenstveno ciljajući korisnike u Italiji i Španjolskoj. Primjeri uključuju:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte i Mooney Carte
  • CaixaBank, CaixaBankNfc i CaixaReactivaTarjeta

Istraživači su prethodno izvijestili da je NFCShare ciljao samo klijente Deutsche Bank u Njemačkoj tijekom siječnja 2026. Najnoviji nalazi sugeriraju da su operateri zlonamjernog softvera značajno proširili svoj opseg ciljanja diljem Europe.

Tehnike zamagljivanja osmišljene za kompliciranje analize

Jedno od najznačajnijih poboljšanja u najnovijim varijantama NFCShare-a je korištenje tehnika pakiranja oštećenih APK-ova namijenjenih ometanju automatizirane analize zlonamjernog softvera i potencijalnom ometanju određenih sigurnosnih alata.

Iako APK datoteke ostaju standardne ZIP arhive, noviji uzorci sadrže namjerno iskrivljene putanje datoteka. Ove manipulirane putanje mogu uzrokovati da neki alati za izdvajanje pogrešno protumače interne relativne putanje kao stvarne lokacije datotečnog sustava, što rezultira pogreškama u obradi i neuspjelim pokušajima analize.

Međutim, ova tehnika ne sprječava ručnu istragu ili oporavak koda. Umjesto toga, prvenstveno služi za kompliciranje tijeka rada statičke analize i ometanje automatiziranih mehanizama detekcije.

Zaštita od NFCShare infekcija

Sigurnosni stručnjaci savjetuju korisnicima Androida da preuzimaju bankarske aplikacije isključivo iz pouzdanih i uglednih izvora, kao što su službene trgovine aplikacija ili provjerene bankarske web stranice. Korisnici bi također trebali biti oprezni kada se suoče s neočekivanim postupcima provjere, posebno onima koji zahtijevaju skeniranje NFC kartica ili druge neobične sigurnosne provjere, jer to može ukazivati na pokušaj prikupljanja osjetljivih financijskih podataka.

U trendu

Prijevara s ponudom i tehničkim detaljima putem e-pošte

Krađa identiteta, Spam
Kibernetički kriminalci neprestano usavršavaju svoje taktike kako bi lažne e-poruke izgledale uvjerljivo, zbog čega je budnost ključna kad god neočekivana poruka stigne u pristiglu poštu. Čak i e-poruke koje se čine profesionalnima i poslovno povezanima mogu biti pažljivo osmišljene prijevare osmišljene za krađu osjetljivih informacija. Kampanja e-pošte 'Ponuda i tehnički detalji' jedna je od...

Nagledanije

Učitavam...