Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie NFCShare Android Malware

NFCShare Android Malware

Do Mezo w Mobilne złośliwe oprogramowanie
Przetłumacz na:

Badacze cyberbezpieczeństwa zidentyfikowali nowe warianty złośliwego oprogramowania NFCSHARE na Androida, rozpowszechniane za pośrednictwem fałszywych aktualizacji legalnych aplikacji bankowych hostowanych w serwisie GitHub. Zagrożenie to znacznie rozwinęło się w stosunku do swoich wcześniejszych wersji i obecnie atakuje klientów wielu banków i instytucji finansowych w całej Europie za pomocą wyrafinowanych operacji phishingowych, których celem jest kradzież danych kart płatniczych.

Jak NFCShare kradnie poufne dane kart

Atak opiera się na technikach socjotechnicznych, które nakłaniają ofiary do interakcji z fałszywym procesem weryfikacji. Użytkownicy są instruowani, aby zbliżyć swoje karty płatnicze do układu komunikacji bliskiego zasięgu (NFC) w urządzeniu mobilnym, umożliwiając złośliwemu oprogramowaniu dostęp do danych karty za pośrednictwem interfejsu IsoDep systemu Android i poleceń EMV.

Po aktywacji NFCSHare zbiera najważniejsze informacje, w tym:

  • Numer karty płatniczej
  • Typ karty
  • Data ważności
  • Czterocyfrowy kod PIN wprowadzony przez ofiarę w ramach fałszywego procesu weryfikacji bezpieczeństwa

Skradzione informacje są następnie przesyłane do infrastruktury dowodzenia i kontroli (C2) atakujących za pośrednictwem kanału komunikacyjnego WebSocket. Dane te mogą być następnie wykorzystane w atakach na przekaźniki płatności NFC, podobnych do tych powiązanych wcześniej z kampaniami złośliwego oprogramowania NGate, SuperCard X i RelayNFC.

Rozwijające się zagrożenie o odrębnych cechach

NFCShare został po raz pierwszy udokumentowany przez badaczy bezpieczeństwa w styczniu 2026 roku, a stały monitoring ujawnił ciągły rozwój i udoskonalanie tego złośliwego oprogramowania. Chociaż zagrożenie to wykazuje podobieństwa w zachowaniu do innych rodzin złośliwego oprogramowania na Androida, które wykorzystują technologię NFC, badacze zidentyfikowali istotne różnice w jego kodzie, bibliotekach, architekturze i metodach implementacji.

Mimo tych różnic eksperci uważają, że NFCSHare może być ewolucją tego samego, szerszego ekosystemu cyberprzestępców i może być obsługiwany przez tych samych aktorów zagrożeń, którzy odpowiadają za powiązane kampanie.

Łańcuch ataków zaczyna się od stron phishingowych w bankach

Ostatnie ataki obserwowane od 14 maja podążają za starannie opracowanym łańcuchem infekcji. Ofiary są najpierw kierowane na strony phishingowe, które imitują legalne portale bankowe i proszą o podanie danych logowania do bankowości internetowej. Po podaniu tych informacji użytkownicy są zachęcani do zainstalowania czegoś, co wydaje się obowiązkową aktualizacją aplikacji bankowej.

Ofiary są następnie przekierowywane do repozytorium GitHub, w którym przechowywane są złośliwe pliki APK dla systemu Android. Badacze zauważają również, że wiadomości SMS i połączenia telefoniczne od osób podszywających się pod przedstawicieli banku mogą być potencjalnie wykorzystywane w procesie socjotechniki, chociaż techniki te nie zostały jeszcze bezpośrednio zaobserwowane w kampaniach NFCShare.

Repozytorium GitHub przechowuje dziesiątki fałszywych aplikacji bankowych

Repozytorium GitHub, które służyło do dystrybucji złośliwego oprogramowania, zostało utworzone 10 kwietnia i zawiera już 56 unikalnych złośliwych plików APK podszywających się pod aplikacje bankowe, atakujących głównie klientów we Włoszech i Hiszpanii. Przykłady obejmują:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte i Mooney Carte
  • CaixaBank, CaixaBankNfc i CaixaReactivaTarjeta

Badacze informowali już wcześniej, że w styczniu 2026 r. NFCSHare atakował wyłącznie klientów Deutsche Bank w Niemczech. Najnowsze odkrycia sugerują, że operatorzy złośliwego oprogramowania znacznie rozszerzyli zakres swoich ataków na całą Europę.

Techniki zaciemniania mające na celu komplikowanie analizy

Jednym z najbardziej znaczących udoskonaleń w najnowszych wersjach NFCShare jest wykorzystanie nieprawidłowo sformatowanych technik pakowania APK, mających na celu zakłócenie automatycznej analizy złośliwego oprogramowania i potencjalne zakłócanie działania niektórych narzędzi zabezpieczających.

Chociaż pliki APK pozostają standardowymi archiwami ZIP, nowsze próbki zawierają celowo zniekształcone ścieżki dostępu do plików. Te zmanipulowane ścieżki mogą powodować, że niektóre narzędzia do ekstrakcji błędnie interpretują wewnętrzne ścieżki względne jako rzeczywiste lokalizacje w systemie plików, co prowadzi do błędów przetwarzania i niepowodzeń analiz.

Technika ta nie uniemożliwia jednak ręcznego dochodzenia ani odzyskiwania kodu. Zamiast tego służy ona przede wszystkim komplikacji statycznych procesów analizy i utrudnianiu zautomatyzowanych mechanizmów wykrywania.

Ochrona przed infekcjami NFCShare

Eksperci ds. bezpieczeństwa zalecają użytkownikom Androida pobieranie aplikacji bankowych wyłącznie z zaufanych i renomowanych źródeł, takich jak oficjalne sklepy z aplikacjami lub zweryfikowane strony internetowe banków. Użytkownicy powinni również zachować ostrożność w przypadku nieoczekiwanych procedur weryfikacji, zwłaszcza tych wymagających skanowania kart NFC lub innych nietypowych kontroli bezpieczeństwa, ponieważ mogą one wskazywać na próbę wyłudzenia poufnych informacji finansowych.

Popularne

Oszustwo e-mailowe z ofertami i szczegółami...

Phishing, Spam
Cyberprzestępcy nieustannie udoskonalają swoje taktyki, aby fałszywe e-maile wydawały się przekonujące, dlatego czujność jest niezbędna, gdy w skrzynce odbiorczej pojawi się nieoczekiwana wiadomość. Nawet e-maile, które wydają się profesjonalne i związane z biznesem, mogą być starannie sfabrykowanymi oszustwami, mającymi na celu kradzież poufnych informacji. Kampania e-mailowa „Quotation And...

Najczęściej oglądane

Ładowanie...