Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare NFCShare Android-skadevare

NFCShare Android-skadevare

Med Mezo i Mobil skadelig programvare
Oversett til:

Forskere på nettsikkerhet har identifisert nye varianter av Android-skadevaren NFCShare som distribueres gjennom falske oppdateringer for legitime bankapplikasjoner som ligger på GitHub. Trusselen har utviklet seg betydelig fra tidligere versjoner og retter seg nå mot kunder i flere banker og finansinstitusjoner over hele Europa gjennom sofistikerte phishing-operasjoner som er utformet for å stjele betalingskortinformasjon.

Hvordan NFCShare stjeler sensitive kortdata

Angrepet bruker sosial manipulering som overbeviser ofrene om å bruke en uredelig verifiseringsprosess. Brukere blir bedt om å plassere betalingskortene sine i nærheten av mobilenhetens NFC-brikke (nærfeltskommunikasjon), slik at skadevaren kan få tilgang til kortdata via Androids IsoDep-grensesnitt og EMV-kommandoer.

Når NFCShare er aktivert, samler den inn viktig informasjon, inkludert:

  • Betalingskortnummer
  • Korttype
  • Utløpsdato
  • Firesifret PIN-kode tastet inn av offeret som en del av en falsk sikkerhetsverifiseringsprosess

Den stjålne informasjonen overføres deretter til angripernes kommando- og kontrollinfrastruktur (C2) via en WebSocket-kommunikasjonskanal. Disse dataene kan deretter utnyttes i NFC-betalingsreléangrep som ligner på de som tidligere er assosiert med NGate-, SuperCard X- og RelayNFC-skadevarekampanjer.

En utviklende trussel med særegne kjennetegn

NFCShare ble først dokumentert av sikkerhetsforskere i januar 2026, og kontinuerlig overvåking har avdekket kontinuerlig utvikling og forbedring av skadevaren. Selv om trusselen deler atferdsmessige likheter med andre Android-skadevarefamilier som utnytter NFC-teknologi, har forskere identifisert bemerkelsesverdige forskjeller i kodebasen, bibliotekene, arkitekturen og implementeringsmetodene.

Til tross for disse forskjellene, mener eksperter at NFCShare fortsatt kan representere en utvikling av det samme bredere økosystemet for nettkriminelle og kan drives av de samme trusselaktørene som er ansvarlige for relaterte kampanjer.

Angrepskjeden begynner med nettfiskesider for banker

Nylige angrep observert siden 14. mai følger en nøye utarbeidet infeksjonskjede. Ofrene blir først sendt til phishing-nettsteder som imiterer legitime bankportaler og ber om nettbanklegitimasjon. Etter å ha oppgitt denne informasjonen, oppfordres brukerne til å installere det som ser ut til å være en obligatorisk oppdatering av bankapplikasjonen.

Ofrene blir deretter omdirigert til et GitHub-arkiv som er vert for skadelige Android APK-filer. Forskere bemerker også at SMS-meldinger og telefonsamtaler fra personer som utgir seg for å være bankrepresentanter potensielt kan bli innlemmet i sosial manipuleringsprosessen, selv om disse teknikkene ennå ikke har blitt observert direkte i NFCShare-kampanjer.

GitHub-arkivet er vert for dusinvis av falske bankapplikasjoner

GitHub-arkivet som ble brukt til å distribuere skadevaren ble opprettet 10. april og har allerede inneholdt 56 unike, ondsinnede APK-filer som utgir seg for å være bankapplikasjoner, hovedsakelig rettet mot kunder i Italia og Spania. Eksempler inkluderer:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte og Mooney Carte
  • CaixaBank, CaixaBankNfc og CaixaReactivaTarjeta

Forskere rapporterte tidligere at NFCShare kun målrettet seg mot Deutsche Bank-kunder i Tyskland i januar 2026. De siste funnene tyder på at operatørene av skadelig programvare har utvidet målrettingsområdet sitt betydelig over hele Europa.

Obfuskasjonsteknikker designet for å komplisere analyse

En av de mest bemerkelsesverdige forbedringene i de nyeste NFCShare-variantene er bruken av misdannede APK-pakketeknikker som er ment å forstyrre automatisert analyse av skadelig programvare og potensielt forstyrre visse sikkerhetsverktøy.

Selv om APK-filene fortsatt er standard ZIP-arkiver, inneholder de nyere eksemplene bevisst feilformede filstier. Disse manipulerte stiene kan føre til at noen utvinningsverktøy feiltolker interne relative stier som faktiske filsystemplasseringer, noe som resulterer i behandlingsfeil og mislykkede analyseforsøk.

Denne teknikken forhindrer imidlertid ikke manuell undersøkelse eller kodegjenoppretting. I stedet tjener den først og fremst til å komplisere statiske analysearbeidsflyter og hindre automatiserte deteksjonsmekanismer.

Beskyttelse mot NFCShare-infeksjoner

Sikkerhetseksperter anbefaler Android-brukere å laste ned bankapplikasjoner utelukkende fra pålitelige og anerkjente kilder, for eksempel offisielle appbutikker eller verifiserte banknettsteder. Brukere bør også være forsiktige når de møter uventede verifiseringsprosedyrer, spesielt de som ber om NFC-kortskanninger eller andre uvanlige sikkerhetskontroller, da disse kan tyde på et forsøk på å stramme inn sensitiv økonomisk informasjon.

Trender

Mest sett

Laster inn...