Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware NFCShare Android-malware

NFCShare Android-malware

Tegen Mezo in Mobiele malware
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben nieuwe varianten van de Android-malware NFCShare ontdekt. Deze worden verspreid via nep-updates voor legitieme bankapplicaties die op GitHub worden gehost. De dreiging is aanzienlijk geëvolueerd ten opzichte van eerdere versies en richt zich nu op klanten van diverse banken en financiële instellingen in heel Europa via geavanceerde phishingaanvallen die zijn ontworpen om betaalkaartgegevens te stelen.

Hoe NFCShare gevoelige kaartgegevens steelt

De aanval maakt gebruik van social engineering-technieken die slachtoffers ertoe verleiden om deel te nemen aan een frauduleus verificatieproces. Gebruikers worden geïnstrueerd om hun betaalkaarten dicht bij de NFC-chip (Near-Field Communication) van hun mobiele apparaat te houden, waardoor de malware via de IsoDep-interface en EMV-commando's van Android toegang krijgt tot de kaartgegevens.

Na activering verzamelt NFCShare cruciale informatie, waaronder:

  • Betaalkaartnummer
  • Kaarttype
  • Vervaldatum
  • Een viercijferige pincode die het slachtoffer heeft ingevoerd als onderdeel van een nepbeveiligingsverificatieproces.

De gestolen informatie wordt vervolgens via een WebSocket-communicatiekanaal naar de command-and-control (C2)-infrastructuur van de aanvallers verzonden. Deze gegevens kunnen vervolgens worden gebruikt bij NFC-betalingsrelay-aanvallen, vergelijkbaar met de aanvallen die eerder werden geassocieerd met de malwarecampagnes NGate, SuperCard X en RelayNFC.

Een zich ontwikkelende dreiging met onderscheidende kenmerken

NFCShare werd voor het eerst gedocumenteerd door beveiligingsonderzoekers in januari 2026, en voortdurende monitoring heeft aangetoond dat de malware zich continu ontwikkelt en verfijnt. Hoewel de dreiging qua gedrag overeenkomsten vertoont met andere Android-malwarefamilies die NFC-technologie misbruiken, hebben onderzoekers opmerkelijke verschillen vastgesteld in de codebasis, bibliotheken, architectuur en implementatiemethoden.

Ondanks deze verschillen geloven experts dat NFCShare nog steeds een evolutie kan zijn van hetzelfde bredere ecosysteem van cybercriminaliteit en mogelijk wordt beheerd door dezelfde daders die verantwoordelijk zijn voor soortgelijke campagnes.

De aanvalsketen begint met phishingpagina's van banken.

De recente aanvallen die sinds 14 mei zijn waargenomen, volgen een zorgvuldig uitgedachte infectieketen. Slachtoffers worden eerst naar phishingwebsites geleid die legitieme bankportalen nabootsen en om online bankgegevens vragen. Nadat deze gegevens zijn verstrekt, worden gebruikers aangemoedigd om een ogenschijnlijk verplichte update van de bankapplicatie te installeren.

De slachtoffers worden vervolgens doorgestuurd naar een GitHub-repository met kwaadaardige Android APK-bestanden. Onderzoekers merken ook op dat sms-berichten en telefoontjes van personen die zich voordoen als bankmedewerkers mogelijk onderdeel kunnen uitmaken van het social engineering-proces, hoewel deze technieken nog niet direct zijn waargenomen in NFCShare-campagnes.

GitHub-repository host tientallen nepbankapplicaties

De GitHub-repository die gebruikt werd om de malware te verspreiden, werd aangemaakt op 10 april en bevatte al 56 unieke kwaadaardige APK-bestanden die zich voordeden als bankapplicaties, voornamelijk gericht op klanten in Italië en Spanje. Voorbeelden zijn:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte en Mooney Carte
  • CaixaBank, CaixaBankNfc en CaixaReactivaTarjeta

Onderzoekers meldden eerder dat NFCShare zich in januari 2026 uitsluitend richtte op klanten van Deutsche Bank in Duitsland. De meest recente bevindingen suggereren dat de beheerders van de malware hun doelwitten aanzienlijk hebben uitgebreid naar heel Europa.

Verhullingstechnieken bedoeld om analyse te bemoeilijken

Een van de meest opvallende verbeteringen in de nieuwste NFCShare-varianten is het gebruik van technieken voor het vervormen van APK-bestanden, bedoeld om geautomatiseerde malware-analyse te verstoren en mogelijk bepaalde beveiligingsprogramma's te belemmeren.

Hoewel de APK-bestanden standaard ZIP-archieven blijven, bevatten de nieuwere versies opzettelijk onjuist geformuleerde bestandspaden. Deze gemanipuleerde paden kunnen ertoe leiden dat sommige extractieprogramma's interne relatieve paden verkeerd interpreteren als daadwerkelijke locaties in het bestandssysteem, wat resulteert in verwerkingsfouten en mislukte analysepogingen.

Deze techniek verhindert echter geen handmatig onderzoek of het herstellen van code. In plaats daarvan maakt ze statische analyseprocessen complexer en belemmert ze geautomatiseerde detectiemechanismen.

Bescherming tegen NFCShare-infecties

Beveiligingsexperts adviseren Android-gebruikers om bankapplicaties uitsluitend te downloaden van vertrouwde en gerenommeerde bronnen, zoals officiële appwinkels of geverifieerde bankwebsites. Gebruikers moeten ook voorzichtig zijn met onverwachte verificatieprocedures, met name procedures waarbij een NFC-kaart gescand moet worden of andere ongebruikelijke beveiligingscontroles worden uitgevoerd, aangezien dit kan duiden op een poging om gevoelige financiële informatie te bemachtigen.

Trending

Meest bekeken

Bezig met laden...