NFCshare एन्ड्रोइड मालवेयर

साइबर सुरक्षा अनुसन्धानकर्ताहरूले GitHub मा होस्ट गरिएका वैध बैंकिङ अनुप्रयोगहरूको लागि नक्कली अपडेटहरू मार्फत वितरण गरिएको एन्ड्रोइड मालवेयर NFCShare को नयाँ रूपहरू पहिचान गरेका छन्। यो खतरा यसको पहिलेका संस्करणहरूबाट उल्लेखनीय रूपमा विकसित भएको छ र अब भुक्तानी कार्ड जानकारी चोर्न डिजाइन गरिएको परिष्कृत फिसिङ अपरेशनहरू मार्फत युरोपभरि धेरै बैंकहरू र वित्तीय संस्थाहरूका ग्राहकहरूलाई लक्षित गरिरहेको छ।

NFCshare ले कसरी संवेदनशील कार्ड डेटा चोर्छ

यो आक्रमण सामाजिक इन्जिनियरिङ प्रविधिहरूमा निर्भर गर्दछ जसले पीडितहरूलाई धोखाधडी प्रमाणीकरण प्रक्रियासँग अन्तर्क्रिया गर्न मनाउँछ। प्रयोगकर्ताहरूलाई आफ्नो भुक्तानी कार्डहरू आफ्नो मोबाइल उपकरणको नजिकैको क्षेत्र सञ्चार (NFC) चिप नजिकै राख्न निर्देशन दिइन्छ, जसले गर्दा मालवेयरले एन्ड्रोइडको IsoDep इन्टरफेस र EMV आदेशहरू मार्फत कार्ड डेटा पहुँच गर्न सक्छ।

एक पटक सक्रिय भएपछि, NFCShare ले महत्त्वपूर्ण जानकारी सङ्कलन गर्छ, जसमा समावेश छन्:

• भुक्तानी कार्ड नम्बर
• कार्डको प्रकार
• म्याद सकिने मिति
• नक्कली सुरक्षा प्रमाणीकरण प्रक्रियाको भागको रूपमा पीडितले प्रविष्ट गरेको चार-अङ्कको पिन कोड

चोरी गरिएको जानकारी त्यसपछि WebSocket सञ्चार च्यानल मार्फत आक्रमणकारीहरूको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधारमा पठाइन्छ। यो डेटा पछि NGate, SuperCard X, र RelayNFC मालवेयर अभियानहरूसँग पहिले सम्बन्धित जस्तै NFC भुक्तानी रिले आक्रमणहरूमा प्रयोग गर्न सकिन्छ।

विशिष्ट विशेषताहरू भएको विकसित खतरा

NFCShare पहिलो पटक सुरक्षा अनुसन्धानकर्ताहरू द्वारा जनवरी २०२६ मा दस्तावेज गरिएको थियो, र निरन्तर अनुगमनले मालवेयरको निरन्तर विकास र परिष्करण प्रकट गरेको छ। यद्यपि यो खतराले NFC प्रविधिको शोषण गर्ने अन्य एन्ड्रोइड मालवेयर परिवारहरूसँग व्यवहारिक समानताहरू साझा गर्दछ, अनुसन्धानकर्ताहरूले यसको कोडबेस, पुस्तकालयहरू, वास्तुकला, र कार्यान्वयन विधिहरूमा उल्लेखनीय भिन्नताहरू पहिचान गरेका छन्।

यी भिन्नताहरूको बावजुद, विज्ञहरू विश्वास गर्छन् कि NFCShare ले अझै पनि उही फराकिलो साइबर आपराधिक इकोसिस्टमको विकासलाई प्रतिनिधित्व गर्न सक्छ र सम्बन्धित अभियानहरूको लागि जिम्मेवार उही खतरा अभिनेताहरूद्वारा सञ्चालित हुन सक्छ।

बैंकिङ फिसिङ पृष्ठहरूबाट आक्रमण श्रृंखला सुरु हुन्छ

मे १४ पछि देखिएका हालैका आक्रमणहरूले सावधानीपूर्वक तयार पारिएको संक्रमण शृङ्खलालाई पछ्याउँछन्। पीडितहरूलाई पहिले वैध बैंकिङ पोर्टलहरूको नक्कल गर्ने र अनलाइन बैंकिङ प्रमाणहरू अनुरोध गर्ने फिसिङ वेबसाइटहरूमा निर्देशित गरिन्छ। यो जानकारी प्रदान गरेपछि, प्रयोगकर्ताहरूलाई अनिवार्य बैंकिङ अनुप्रयोग अपडेट जस्तो देखिने कुरा स्थापना गर्न प्रोत्साहित गरिन्छ।

त्यसपछि पीडितहरूलाई दुर्भावनापूर्ण एन्ड्रोइड एपीके फाइलहरू होस्ट गर्ने GitHub भण्डारमा रिडिरेक्ट गरिन्छ। अनुसन्धानकर्ताहरूले यो पनि नोट गर्छन् कि बैंक प्रतिनिधिको रूपमा प्रस्तुत व्यक्तिहरूबाट एसएमएस सन्देशहरू र फोन कलहरू सम्भावित रूपमा सामाजिक-इन्जिनियरिङ प्रक्रियामा समावेश गर्न सकिन्छ, यद्यपि यी प्रविधिहरू अझै NFCShare अभियानहरूमा प्रत्यक्ष रूपमा अवलोकन गरिएको छैन।

गिटहब रिपोजिटरीमा दर्जनौं नक्कली बैंकिङ एप्लिकेसनहरू छन्

मालवेयर वितरण गर्न प्रयोग गरिएको GitHub भण्डार अप्रिल १० मा सिर्जना गरिएको थियो र पहिले नै बैंकिङ अनुप्रयोगहरूको नक्कल गर्ने ५६ वटा अद्वितीय दुर्भावनापूर्ण APK फाइलहरू होस्ट गरिसकेको छ, मुख्यतया इटाली र स्पेनका ग्राहकहरूलाई लक्षित गर्दै। उदाहरणहरू समावेश छन्:

• Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte, and Mooney Carte
• CaixaBank, CaixaBankNfc, र CaixaReactivaTarjeta

अनुसन्धानकर्ताहरूले पहिले रिपोर्ट गरेका थिए कि NFCShare ले जनवरी २०२६ मा जर्मनीमा ड्यूश बैंकका ग्राहकहरूलाई मात्र लक्षित गरेको थियो। पछिल्लो खोजहरूले सुझाव दिन्छ कि मालवेयर अपरेटरहरूले युरोपभरि आफ्नो लक्षित दायरा उल्लेखनीय रूपमा विस्तार गरेका छन्।

विश्लेषणलाई जटिल बनाउन डिजाइन गरिएका अस्पष्टता प्रविधिहरू

पछिल्लो NFCShare भेरियन्टहरूमा सबैभन्दा उल्लेखनीय सुधारहरू मध्ये एक स्वचालित मालवेयर विश्लेषणलाई बाधा पुर्‍याउने र सम्भावित रूपमा निश्चित सुरक्षा उपकरणहरूमा हस्तक्षेप गर्ने उद्देश्यले विकृत APK प्याकेजिङ प्रविधिहरूको प्रयोग हो।

यद्यपि APK फाइलहरू मानक ZIP अभिलेखहरू नै रहन्छन्, नयाँ नमूनाहरूमा जानाजानी विकृत फाइल मार्गहरू छन्। यी हेरफेर गरिएका मार्गहरूले केही निकासी उपकरणहरूलाई वास्तविक फाइल प्रणाली स्थानहरूको रूपमा आन्तरिक सापेक्ष मार्गहरूको गलत व्याख्या गर्न सक्छ, जसले गर्दा प्रशोधन त्रुटिहरू र असफल विश्लेषण प्रयासहरू हुन्छन्।

यद्यपि, यो प्रविधिले म्यानुअल अनुसन्धान वा कोड रिकभरीलाई रोक्दैन। बरु, यसले मुख्यतया स्थिर विश्लेषण कार्यप्रवाहलाई जटिल बनाउन र स्वचालित पत्ता लगाउने संयन्त्रहरूलाई बाधा पुर्‍याउने काम गर्दछ।

NFCShare संक्रमणबाट बचाउने

सुरक्षा विज्ञहरूले एन्ड्रोइड प्रयोगकर्ताहरूलाई आधिकारिक एप स्टोर वा प्रमाणित बैंकिङ वेबसाइटहरू जस्ता विश्वसनीय र प्रतिष्ठित स्रोतहरूबाट मात्र बैंकिङ अनुप्रयोगहरू डाउनलोड गर्न सल्लाह दिन्छन्। प्रयोगकर्ताहरूले अप्रत्याशित प्रमाणीकरण प्रक्रियाहरूको सामना गर्दा सावधानी अपनाउनु पर्छ, विशेष गरी NFC कार्ड स्क्यान वा अन्य असामान्य सुरक्षा जाँचहरूको अनुरोध गर्नेहरू, किनकि यसले संवेदनशील वित्तीय जानकारी सङ्कलन गर्ने प्रयासलाई संकेत गर्न सक्छ।