Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa mobiliesiems NFCShare „Android“ kenkėjiška programa

NFCShare „Android“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa mobiliesiems
Versti į:

Kibernetinio saugumo tyrėjai nustatė naujus „Android“ kenkėjiškos programos „NFCShare“ variantus, kurie platinami per netikrus teisėtų bankininkystės programų, talpinamų „GitHub“, atnaujinimus. Grėsmė gerokai išsivystė, palyginti su ankstesnėmis versijomis, ir dabar ji taikosi į daugelio bankų ir finansų įstaigų klientus visoje Europoje, taikant sudėtingas sukčiavimo operacijas, skirtas pavogti mokėjimo kortelių informaciją.

Kaip „NFCShare“ vagia jautrius kortelės duomenis

Ataka remiasi socialinės inžinerijos metodais, kurie įtikina aukas sąveikauti su nesąžiningu patvirtinimo procesu. Vartotojams nurodoma priglausti savo mokėjimo korteles prie mobiliojo įrenginio artimojo lauko ryšio (NFC) lusto, kad kenkėjiška programa galėtų pasiekti kortelės duomenis per „Android“ „IsoDep“ sąsają ir EMV komandas.

Aktyvavus NFCShare, renkama svarbi informacija, įskaitant:

  • Mokėjimo kortelės numeris
  • Kortelės tipas
  • Galiojimo data
  • Keturių skaitmenų PIN kodas, kurį auka įvedė kaip netikro saugumo patvirtinimo proceso dalį

Pavogta informacija tada perduodama užpuolikų valdymo ir kontrolės (C2) infrastruktūrai per „WebSocket“ ryšio kanalą. Šie duomenys vėliau gali būti panaudoti NFC mokėjimų perdavimo atakose, panašiose į tas, kurios anksčiau buvo siejamos su „NGate“, „SuperCard X“ ir „RelayNFC“ kenkėjiškų programų kampanijomis.

Besivystanti grėsmė su išskirtinėmis savybėmis

„NFCShare“ pirmą kartą saugumo tyrėjų buvo aprašyta 2026 m. sausio mėn., o nuolatinė stebėsena atskleidė nuolatinį šios kenkėjiškos programos kūrimą ir tobulinimą. Nors šios grėsmės elgsena panaši į kitų „Android“ kenkėjiškų programų šeimų, kurios išnaudoja NFC technologiją, tyrėjai nustatė pastebimų skirtumų jos kodo bazėje, bibliotekose, architektūroje ir įgyvendinimo metoduose.

Nepaisant šių skirtumų, ekspertai mano, kad „NFCShare“ vis dar gali būti tos pačios platesnės kibernetinių nusikaltimų ekosistemos evoliucija ir ją gali valdyti tie patys grėsmės subjektai, atsakingi už susijusias kampanijas.

Atakų grandinė prasideda nuo bankininkystės sukčiavimo puslapių

Nuo gegužės 14 d. stebimos naujausios atakos seka kruopščiai sukurta užkrėtimo grandine. Aukos pirmiausia nukreipiamos į sukčiavimo svetaines, kurios imituoja teisėtus bankininkystės portalus ir prašo internetinės bankininkystės prisijungimo duomenų. Pateikus šią informaciją, vartotojams rekomenduojama įdiegti tai, kas atrodo kaip privalomas bankininkystės programos atnaujinimas.

Tada aukos nukreipiamos į „GitHub“ saugyklą, kurioje saugomi kenkėjiški „Android“ APK failai. Tyrėjai taip pat atkreipia dėmesį, kad asmenų, apsimetančių banko atstovais, SMS žinutės ir telefono skambučiai gali būti įtraukti į socialinės inžinerijos procesą, nors šios technikos dar nebuvo tiesiogiai pastebėtos NFCShare kampanijose.

„GitHub“ saugykloje yra dešimtys netikrų bankininkystės programų

„GitHub“ saugykla, naudojama kenkėjiškai programai platinti, buvo sukurta balandžio 10 d. ir joje jau yra 56 unikalūs kenkėjiški APK failai, apsimetantys bankininkystės programomis, daugiausia nukreipti į klientus Italijoje ir Ispanijoje. Pavyzdžiai:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte ir Mooney Carte
  • CaixaBank, CaixaBankNfc ir CaixaReactivaTarjeta

Anksčiau tyrėjai pranešė, kad „NFCShare“ 2026 m. sausio mėn. taikėsi tik į „Deutsche Bank“ klientus Vokietijoje. Naujausi duomenys rodo, kad kenkėjiškų programų operatoriai gerokai išplėtė savo taikinių aprėptį visoje Europoje.

Užmaskavimo metodai, skirti apsunkinti analizę

Vienas pastebimiausių naujausių „NFCShare“ variantų patobulinimų yra netinkamai suformuotų APK pakavimo metodų, skirtų sutrikdyti automatinę kenkėjiškų programų analizę ir galimai trukdyti tam tikrų saugos įrankių veikimui, naudojimas.

Nors APK failai išlieka standartiniais ZIP archyvais, naujesniuose pavyzdžiuose yra tyčia neteisingai suformuotų failų kelių. Dėl šių modifikuotų kelių kai kurie ištraukimo įrankiai gali neteisingai interpretuoti vidinius santykinius kelius kaip tikras failų sistemos vietas, todėl gali kilti apdorojimo klaidų ir nepavykti atlikti analizės.

Tačiau ši technika neužkerta kelio rankiniam tyrimui ar kodo atkūrimui. Vietoj to, ji pirmiausia apsunkina statinės analizės darbo eigą ir trukdo automatizuotiems aptikimo mechanizmams.

Apsauga nuo NFCShare infekcijų

Saugumo ekspertai pataria „Android“ naudotojams atsisiųsti bankininkystės programas tik iš patikimų ir gerą reputaciją turinčių šaltinių, tokių kaip oficialios programėlių parduotuvės arba patikrintos bankininkystės svetainės. Vartotojai taip pat turėtų būti atsargūs susidūrę su netikėtomis patvirtinimo procedūromis, ypač tomis, kuriose prašoma nuskaityti NFC korteles ar atlikti kitus neįprastus saugumo patikrinimus, nes tai gali rodyti bandymą gauti neskelbtiną finansinę informaciją.

Tendencijos

Citatos ir techninės informacijos el. pašto sukčiavimas

Sukčiavimas, Šlamštas
Kibernetiniai nusikaltėliai nuolat tobulina savo taktiką, kad apgaulingi el. laiškai atrodytų įtikinami, todėl būtina būti budriems, kai tik į gautuosius patenka netikėtas pranešimas. Net el. laiškai, kurie atrodo profesionalūs ir susiję su verslu, gali būti kruopščiai parengtos sukčiavimo schemos, skirtos pavogti neskelbtiną informaciją. Viena iš tokių grėsmių yra el. pašto kampanija „Citata...

Labiausiai žiūrima

Įkeliama...