Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm NFCShare Android ļaunprogrammatūra

NFCShare Android ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm. gadā
Tulkot uz:

Kiberdrošības pētnieki ir identificējuši jaunus Android ļaunprogrammatūras NFCShare variantus, kas tiek izplatīti, izmantojot viltotus atjauninājumus likumīgām banku lietojumprogrammām, kas tiek mitinātas vietnē GitHub. Šis apdraudējums ir ievērojami attīstījies salīdzinājumā ar iepriekšējām versijām un tagad ir vērsts pret vairāku banku un finanšu iestāžu klientiem visā Eiropā, izmantojot sarežģītas pikšķerēšanas operācijas, kas paredzētas maksājumu karšu informācijas zagšanai.

Kā NFCShare zog sensitīvus karšu datus

Uzbrukums balstās uz sociālās inženierijas metodēm, kas pārliecina upurus mijiedarboties ar krāpniecisku verifikācijas procesu. Lietotājiem tiek dots norādījums novietot maksājumu kartes mobilās ierīces tuvā darbības lauka sakaru (NFC) mikroshēmas tuvumā, ļaujot ļaunprogrammatūrai piekļūt karšu datiem, izmantojot Android IsoDep saskarni un EMV komandas.

Pēc aktivizēšanas NFCShare apkopo svarīgu informāciju, tostarp:

  • Maksājumu kartes numurs
  • Kartes veids
  • Derīguma termiņš
  • Četrciparu PIN kods, ko upuris ievadījis viltotas drošības verifikācijas procesa ietvaros

Nozagtā informācija pēc tam tiek pārsūtīta uzbrucēju vadības un kontroles (C2) infrastruktūrai, izmantojot WebSocket sakaru kanālu. Šos datus vēlāk var izmantot NFC maksājumu retranslācijas uzbrukumos, kas līdzīgi tiem, kas iepriekš bija saistīti ar NGate, SuperCard X un RelayNFC ļaunprogrammatūras kampaņām.

Mainīgs drauds ar atšķirīgām īpašībām

NFCShare pirmo reizi tika dokumentēts drošības pētnieku 2026. gada janvārī, un pastāvīgā uzraudzība ir atklājusi šīs ļaunprogrammatūras nepārtrauktu attīstību un pilnveidošanu. Lai gan šim apdraudējumam ir līdzīga uzvedība ar citām Android ļaunprogrammatūru saimēm, kas izmanto NFC tehnoloģiju, pētnieki ir atklājuši ievērojamas atšķirības tā kodbāzē, bibliotēkās, arhitektūrā un ieviešanas metodēs.

Neskatoties uz šīm atšķirībām, eksperti uzskata, ka NFCShare joprojām varētu atspoguļot tās pašas plašākās kibernoziedznieku ekosistēmas evolūciju un to varētu pārvaldīt tie paši apdraudējumu izpildītāji, kas ir atbildīgi par saistītajām kampaņām.

Uzbrukumu ķēde sākas ar banku pikšķerēšanas lapām

Kopš 14. maija novērotie uzbrukumi seko rūpīgi izstrādātai inficēšanas ķēdei. Upuri vispirms tiek novirzīti uz pikšķerēšanas vietnēm, kas imitē likumīgus banku portālus un pieprasa tiešsaistes bankas akreditācijas datus. Pēc šīs informācijas sniegšanas lietotājiem tiek ieteikts instalēt, šķiet, obligātu banku lietojumprogrammas atjauninājumu.

Pēc tam upuri tiek novirzīti uz GitHub krātuvi, kurā glabājas ļaunprātīgi Android APK faili. Pētnieki arī norāda, ka īsziņas un tālruņa zvani no personām, kas izliekas par bankas pārstāvjiem, varētu tikt iekļauti sociālās inženierijas procesā, lai gan šīs metodes vēl nav tieši novērotas NFCShare kampaņās.

GitHub repozitorijā ir desmitiem viltotu banku lietojumprogrammu

GitHub repozitorijs, ko izmantoja ļaunprogrammatūras izplatīšanai, tika izveidots 10. aprīlī, un tajā jau ir mitināti 56 unikāli ļaunprātīgi APK faili, kas atdarina banku lietojumprogrammas, galvenokārt mērķējot uz klientiem Itālijā un Spānijā. Piemēri:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte un Mooney Carte
  • CaixaBank, CaixaBankNfc un CaixaReactivaTarjeta

Pētnieki iepriekš ziņoja, ka NFCShare 2026. gada janvārī mērķēja tikai uz Deutsche Bank klientiem Vācijā. Jaunākie atklājumi liecina, ka ļaunprogrammatūras operatori ir ievērojami paplašinājuši savu mērķauditorijas atlases tvērumu visā Eiropā.

Aptumšošanas metodes, kas paredzētas analīzes sarežģīšanai

Viens no ievērojamākajiem uzlabojumiem jaunākajos NFCShare variantos ir nepareizi veidotu APK pakotņu metožu izmantošana, kas paredzētas, lai traucētu automatizētu ļaunprogrammatūras analīzi un potenciāli traucētu noteiktu drošības rīku darbību.

Lai gan APK faili joprojām ir standarta ZIP arhīvi, jaunākajos paraugos ir tīši nepareizi veidoti failu ceļi. Šie manipulētie ceļi var izraisīt to, ka daži ieguves rīki nepareizi interpretē iekšējos relatīvos ceļus kā faktiskās failu sistēmas atrašanās vietas, kā rezultātā rodas apstrādes kļūdas un neveiksmīgi analīzes mēģinājumi.

Tomēr šī metode neliedz manuālu izpēti vai koda atgūšanu. Tā vietā tā galvenokārt sarežģī statiskās analīzes darbplūsmas un kavē automatizētus noteikšanas mehānismus.

Aizsardzība pret NFCShare infekcijām

Drošības eksperti iesaka Android lietotājiem lejupielādēt banku lietotnes tikai no uzticamiem un cienījamiem avotiem, piemēram, oficiāliem lietotņu veikaliem vai pārbaudītām banku vietnēm. Lietotājiem arī jāievēro piesardzība, saskaroties ar negaidītām verifikācijas procedūrām, īpaši tām, kas pieprasa NFC karšu skenēšanu vai citas neparastas drošības pārbaudes, jo tās var liecināt par mēģinājumu iegūt sensitīvu finanšu informāciju.

Tendences

Piedāvājumu un tehnisko detaļu e-pasta krāpniecība

Pikšķerēšana, Mēstules
Kibernoziedznieki pastāvīgi pilnveido savu taktiku, lai krāpnieciski e-pasti izskatītos pārliecinoši, tāpēc ir jābūt modriem, kad iesūtnē pienāk negaidīts ziņojums. Pat e-pasti, kas šķiet profesionāli un saistīti ar uzņēmējdarbību, var būt rūpīgi izstrādātas krāpniecības shēmas, kuru mērķis ir nozagt sensitīvu informāciju. E-pasta kampaņa “Citāts un tehniskā informācija” ir viens no šādiem...

Visvairāk skatīts

Notiek ielāde...