Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Malware NFCShare para Android

Malware NFCShare para Android

Por Mezo em Malware móvel
Traduzir Para:

Pesquisadores de cibersegurança identificaram novas variantes do malware para Android NFCShare sendo distribuídas por meio de atualizações falsas para aplicativos bancários legítimos hospedados no GitHub. A ameaça evoluiu significativamente em relação às suas versões anteriores e agora está visando clientes de diversos bancos e instituições financeiras em toda a Europa por meio de sofisticadas operações de phishing, projetadas para roubar informações de cartões de pagamento.

Como a NFCShare rouba dados confidenciais de cartões

O ataque se baseia em técnicas de engenharia social que convencem as vítimas a interagir com um processo de verificação fraudulento. Os usuários são instruídos a aproximar seus cartões de pagamento do chip NFC (Near Field Communication) de seus dispositivos móveis, permitindo que o malware acesse os dados do cartão por meio da interface IsoDep do Android e comandos EMV.

Uma vez ativado, o NFCShare coleta informações críticas, incluindo:

  • Número do cartão de pagamento
  • Tipo de cartão
  • Data de validade
  • Código PIN de quatro dígitos inserido pela vítima como parte de um processo falso de verificação de segurança.

As informações roubadas são então transmitidas para a infraestrutura de comando e controle (C2) dos atacantes por meio de um canal de comunicação WebSocket. Esses dados podem ser posteriormente utilizados em ataques de retransmissão de pagamentos NFC, semelhantes aos associados anteriormente às campanhas de malware NGate, SuperCard X e RelayNFC.

Uma ameaça em evolução com características distintas.

O NFCShare foi documentado pela primeira vez por pesquisadores de segurança em janeiro de 2026, e o monitoramento contínuo revelou o desenvolvimento e aprimoramento constantes do malware. Embora a ameaça compartilhe semelhanças comportamentais com outras famílias de malware para Android que exploram a tecnologia NFC, os pesquisadores identificaram diferenças notáveis em seu código-fonte, bibliotecas, arquitetura e métodos de implementação.

Apesar dessas distinções, especialistas acreditam que o NFCShare ainda pode representar uma evolução do mesmo ecossistema cibercriminoso mais amplo e pode ser operado pelos mesmos agentes de ameaça responsáveis por campanhas relacionadas.

A cadeia de ataques começa com páginas de phishing bancárias.

Os ataques recentes observados desde 14 de maio seguem uma cadeia de infecção cuidadosamente elaborada. As vítimas são inicialmente direcionadas para sites de phishing que imitam portais bancários legítimos e solicitam credenciais de acesso ao banco online. Após fornecerem essas informações, os usuários são incentivados a instalar o que parece ser uma atualização obrigatória do aplicativo bancário.

As vítimas são então redirecionadas para um repositório do GitHub que hospeda arquivos APK maliciosos para Android. Os pesquisadores também observam que mensagens SMS e ligações telefônicas de indivíduos se passando por representantes de bancos podem ser incorporadas ao processo de engenharia social, embora essas técnicas ainda não tenham sido observadas diretamente em campanhas do NFCShare.

Repositório do GitHub hospeda dezenas de aplicativos bancários falsos.

O repositório do GitHub usado para distribuir o malware foi criado em 10 de abril e já hospeda 56 arquivos APK maliciosos exclusivos, que se fazem passar por aplicativos bancários, visando principalmente clientes na Itália e na Espanha. Exemplos incluem:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte e Mooney Carte
  • CaixaBank, CaixaBankNfc e CaixaReativaTarjeta

Pesquisadores relataram anteriormente que o NFCShare tinha como alvo apenas clientes do Deutsche Bank na Alemanha durante janeiro de 2026. As descobertas mais recentes sugerem que os operadores do malware expandiram significativamente seu alcance de ataque por toda a Europa.

Técnicas de ofuscação concebidas para complicar a análise

Uma das melhorias mais notáveis nas versões mais recentes do NFCShare é o uso de técnicas de empacotamento de APK malformadas, destinadas a interromper a análise automatizada de malware e potencialmente interferir em certas ferramentas de segurança.

Embora os arquivos APK continuem sendo arquivos ZIP padrão, as amostras mais recentes contêm caminhos de arquivo intencionalmente malformados. Esses caminhos manipulados podem fazer com que algumas ferramentas de extração interpretem erroneamente caminhos relativos internos como locais reais do sistema de arquivos, resultando em erros de processamento e falhas nas tentativas de análise.

No entanto, essa técnica não impede a investigação manual ou a recuperação de código. Em vez disso, ela serve principalmente para complicar os fluxos de trabalho de análise estática e dificultar os mecanismos de detecção automatizados.

Proteção contra infecções por NFCShare

Especialistas em segurança aconselham os usuários do Android a baixar aplicativos bancários exclusivamente de fontes confiáveis e respeitáveis, como lojas de aplicativos oficiais ou sites bancários verificados. Os usuários também devem ter cautela ao se depararem com procedimentos de verificação inesperados, principalmente aqueles que solicitam leituras de cartões NFC ou outras verificações de segurança incomuns, pois podem indicar uma tentativa de coletar informações financeiras confidenciais.

Tendendo

Mais visto

Carregando...