Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili NFCShare, malware per Android.

NFCShare, malware per Android.

Entro Mezo nel Malware per dispositivi mobili
Traduci in:

I ricercatori di sicurezza informatica hanno identificato nuove varianti del malware Android NFCShare, distribuite tramite falsi aggiornamenti di applicazioni bancarie legittime ospitate su GitHub. La minaccia si è evoluta significativamente rispetto alle versioni precedenti e ora prende di mira i clienti di numerose banche e istituzioni finanziarie in tutta Europa attraverso sofisticate operazioni di phishing progettate per rubare i dati delle carte di pagamento.

Come NFCShare ruba i dati sensibili delle carte di credito.

L'attacco si basa su tecniche di ingegneria sociale che convincono le vittime a interagire con un processo di verifica fraudolento. Agli utenti viene chiesto di avvicinare le proprie carte di pagamento al chip NFC (Near Field Communication) del dispositivo mobile, consentendo al malware di accedere ai dati della carta tramite l'interfaccia IsoDep di Android e i comandi EMV.

Una volta attivato, NFCShare raccoglie informazioni cruciali, tra cui:

  • Numero della carta di pagamento
  • Tipo di carta
  • Data di scadenza
  • Codice PIN di quattro cifre inserito dalla vittima nell'ambito di una falsa procedura di verifica della sicurezza.

Le informazioni rubate vengono quindi trasmesse all'infrastruttura di comando e controllo (C2) degli aggressori tramite un canale di comunicazione WebSocket. Questi dati possono successivamente essere sfruttati in attacchi di relay di pagamento NFC simili a quelli precedentemente associati alle campagne malware NGate, SuperCard X e RelayNFC.

Una minaccia in continua evoluzione con caratteristiche distinte

NFCShare è stato documentato per la prima volta dai ricercatori di sicurezza nel gennaio 2026 e il monitoraggio continuo ha rivelato un costante sviluppo e perfezionamento del malware. Sebbene la minaccia condivida similitudini comportamentali con altre famiglie di malware per Android che sfruttano la tecnologia NFC, i ricercatori hanno identificato notevoli differenze nel suo codice sorgente, nelle librerie, nell'architettura e nei metodi di implementazione.

Nonostante queste distinzioni, gli esperti ritengono che NFCShare potrebbe comunque rappresentare un'evoluzione dello stesso ecosistema criminale informatico più ampio e che possa essere gestito dagli stessi attori responsabili di campagne simili.

La catena di attacco inizia con le pagine di phishing bancario.

Gli attacchi recenti, osservati a partire dal 14 maggio, seguono una catena di infezione attentamente studiata. Le vittime vengono inizialmente indirizzate a siti web di phishing che imitano portali bancari legittimi e richiedono le credenziali di accesso all'online banking. Dopo aver fornito queste informazioni, gli utenti vengono invitati a installare quello che sembra essere un aggiornamento obbligatorio dell'applicazione bancaria.

Le vittime vengono quindi reindirizzate a un repository GitHub che ospita file APK Android dannosi. I ricercatori osservano inoltre che messaggi SMS e telefonate da parte di individui che si spacciano per rappresentanti di banche potrebbero potenzialmente essere integrati nel processo di ingegneria sociale, sebbene queste tecniche non siano ancora state osservate direttamente nelle campagne NFCShare.

Un repository GitHub ospita decine di false applicazioni bancarie.

Il repository GitHub utilizzato per distribuire il malware è stato creato il 10 aprile e ha già ospitato 56 file APK dannosi unici che impersonano applicazioni bancarie, prendendo di mira principalmente clienti in Italia e Spagna. Alcuni esempi includono:

  • Carte Intesa, Carte Sella, Carte Banca Sella, Carte Nexi, Carte Fideuram e Carte Mooney
  • CaixaBank, CaixaBankNfc e CaixaReactivaTarjeta

I ricercatori avevano precedentemente segnalato che NFCShare aveva preso di mira esclusivamente i clienti di Deutsche Bank in Germania nel gennaio 2026. Le ultime scoperte suggeriscono che gli autori del malware abbiano esteso significativamente il loro raggio d'azione a tutta Europa.

Tecniche di offuscamento progettate per complicare l’analisi

Uno dei miglioramenti più significativi delle ultime varianti di NFCShare è l'utilizzo di tecniche di packaging APK non corrette, progettate per ostacolare l'analisi automatizzata dei malware e potenzialmente interferire con alcuni strumenti di sicurezza.

Sebbene i file APK rimangano archivi ZIP standard, i campioni più recenti contengono percorsi di file intenzionalmente non validi. Questi percorsi manipolati possono indurre alcuni strumenti di estrazione a interpretare erroneamente i percorsi relativi interni come posizioni effettive del file system, causando errori di elaborazione e tentativi di analisi falliti.

Tuttavia, questa tecnica non impedisce l'indagine manuale o il recupero del codice. Piuttosto, serve principalmente a complicare i flussi di lavoro di analisi statica e a ostacolare i meccanismi di rilevamento automatico.

Protezione contro le infezioni da NFCShare

Gli esperti di sicurezza consigliano agli utenti Android di scaricare le applicazioni bancarie esclusivamente da fonti affidabili e autorevoli, come gli app store ufficiali o i siti web bancari verificati. Gli utenti dovrebbero inoltre prestare attenzione alle procedure di verifica inaspettate, in particolare quelle che richiedono la scansione di carte NFC o altri controlli di sicurezza insoliti, poiché potrebbero indicare un tentativo di carpire informazioni finanziarie sensibili.

Tendenza

I più visti

Caricamento in corso...