Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program NFCShare Android kártevő

NFCShare Android kártevő

Mezo -ra Mobil rosszindulatú program-ben
Fordítás ide:

Kiberbiztonsági kutatók azonosították az NFCShare Android kártevő új változatait, amelyeket a GitHubon tárolt legitim banki alkalmazások hamis frissítésein keresztül terjesztenek. A fenyegetés jelentősen fejlődött a korábbi verziókhoz képest, és most Európa-szerte több bank és pénzintézet ügyfeleit célozza meg kifinomult adathalász műveletek révén, amelyek célja a bankkártya-adatok ellopása.

Hogyan lopja el az NFCShare az érzékeny kártyaadatokat

A támadás olyan szociális manipulációs technikákon alapul, amelyek ráveszik az áldozatokat egy csalárd ellenőrzési folyamatra. A felhasználókat arra utasítják, hogy helyezzék bankkártyájukat mobileszközük NFC (közeli hatótávolságú kommunikáció) chipjének közelébe, lehetővé téve a rosszindulatú program számára, hogy hozzáférjen a kártyaadatokhoz az Android IsoDep felületén és EMV parancsokon keresztül.

Aktiválás után az NFCShare kritikus információkat gyűjt, beleértve a következőket:

  • Bankkártya száma
  • Kártya típusa
  • Lejárati idő
  • Az áldozat által hamis biztonsági ellenőrzési folyamat részeként megadott négyjegyű PIN-kód

Az ellopott információkat ezután egy WebSocket kommunikációs csatornán keresztül továbbítják a támadók parancsnoki és vezérlő (C2) infrastruktúrájához. Ezeket az adatokat később felhasználhatják NFC fizetési továbbítási támadásokban, hasonlóan a korábban az NGate, a SuperCard X és a RelayNFC rosszindulatú kampányokkal összefüggésbe hozottakhoz.

Egy folyamatosan változó fenyegetés, jellegzetes jellemzőkkel

Az NFCShare-t először 2026 januárjában dokumentálták biztonsági kutatók, és a folyamatos megfigyelések a kártevő folyamatos fejlesztését és finomítását tárták fel. Bár a fenyegetés viselkedési hasonlóságokat mutat más, NFC technológiát kihasználó Android kártevőcsaládokkal, a kutatók jelentős különbségeket azonosítottak a kódbázisában, a könyvtárakban, az architektúrában és a megvalósítási módszerekben.

Ezen különbségek ellenére a szakértők úgy vélik, hogy az NFCShare továbbra is ugyanazon tágabb kiberbűnözői ökoszisztéma fejlődését képviselheti, és ugyanazok a fenyegető szereplők üzemeltethetik, akik a kapcsolódó kampányokért felelősek.

A támadási lánc banki adathalász oldalakkal kezdődik

A május 14. óta megfigyelt támadások egy gondosan megtervezett fertőzési láncot követnek. Az áldozatokat először olyan adathalász weboldalakra irányítják, amelyek legitim banki portálokat utánoznak, és online banki hitelesítő adatokat kérnek. Miután megadták ezeket az információkat, a felhasználókat arra ösztönzik, hogy telepítsenek egy kötelező banki alkalmazásfrissítésnek tűnő dolgot.

Az áldozatokat ezután egy GitHub adattárba irányítják át, amely rosszindulatú Android APK fájlokat tárol. A kutatók azt is megjegyzik, hogy a banki képviselőknek kiadva magukat küldő személyek SMS-üzenetei és telefonhívásai potenciálisan beépülhetnek a társadalmi manipuláció folyamatába, bár ezeket a technikákat még nem figyelték meg közvetlenül az NFCShare kampányokban.

GitHub adattár több tucat hamis banki alkalmazást tárol

A kártevő terjesztésére használt GitHub adattárat április 10-én hozták létre, és már 56 egyedi, rosszindulatú APK fájlt tárolt, amelyek banki alkalmazásokat utánoztak, elsősorban olaszországi és spanyolországi ügyfeleket célozva meg. Példák a következőkre:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte és Mooney Carte
  • CaixaBank, CaixaBankNfc és CaixaReactivaTarjeta

A kutatók korábban arról számoltak be, hogy az NFCShare 2026 januárjában kizárólag a Deutsche Bank németországi ügyfeleit célozta meg. A legfrissebb eredmények arra utalnak, hogy a rosszindulatú programok üzemeltetői jelentősen kiterjesztették célpontjaik hatókörét Európa-szerte.

Az elemzés bonyolítására tervezett homályosítási technikák

Az NFCShare legújabb variánsainak egyik legfigyelemreméltóbb fejlesztése a hibásan formázott APK-csomagolási technikák használata, amelyek célja az automatikus kártevő-elemzés megzavarása és bizonyos biztonsági eszközök esetleges zavarása.

Bár az APK fájlok továbbra is szabványos ZIP archívumok maradnak, az újabb minták szándékosan hibásan formázott fájlútvonalakat tartalmaznak. Ezek a manipulált elérési utak azt okozhatják, hogy egyes kinyerési eszközök a belső relatív elérési utakat a tényleges fájlrendszeri helyként értelmezik, ami feldolgozási hibákhoz és sikertelen elemzési kísérletekhez vezethet.

Ez a technika azonban nem akadályozza meg a manuális vizsgálatot vagy a kód helyreállítását. Ehelyett elsősorban a statikus elemzési munkafolyamatok bonyolítására és az automatizált észlelési mechanizmusok akadályozására szolgál.

NFCShare fertőzések elleni védelem

A biztonsági szakértők azt tanácsolják az Android-felhasználóknak, hogy banki alkalmazásokat kizárólag megbízható és jó hírű forrásokból, például hivatalos alkalmazásboltokból vagy ellenőrzött banki weboldalakról töltsenek le. A felhasználóknak óvatosnak kell lenniük a váratlan ellenőrzési eljárásokkal, különösen azokkal, amelyek NFC-kártyaszkennelést vagy más szokatlan biztonsági ellenőrzéseket kérnek, mivel ezek érzékeny pénzügyi információk megszerzésére tett kísérletre utalhatnak.

Felkapott

Árajánlatot és technikai részleteket tartalmazó...

Adathalászat, Spam
A kiberbűnözők folyamatosan finomítják taktikáikat, hogy a csalárd e-mailek meggyőzőnek tűnjenek, ezért elengedhetetlen az éberség, amikor váratlan üzenet érkezik a postaládába. Még a professzionálisnak és üzleti jellegűnek tűnő e-mailek is gondosan kidolgozott átverések lehetnek, amelyek célja érzékeny információk ellopása. Az „Árajánlat és technikai részletek” e-mail kampány egy ilyen...

Legnézettebb

Betöltés...