Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Programe malware NFCShare pentru Android

Programe malware NFCShare pentru Android

Până în Mezo în Malware mobil
Tradu in:

Cercetătorii în domeniul securității cibernetice au identificat noi variante ale malware-ului pentru Android NFCShare, distribuit prin actualizări false pentru aplicații bancare legitime găzduite pe GitHub. Amenințarea a evoluat semnificativ față de versiunile sale anterioare și vizează acum clienții mai multor bănci și instituții financiare din Europa prin operațiuni sofisticate de phishing, concepute pentru a fura informații despre cardurile de plată.

Cum fură NFCShare datele sensibile ale cardurilor

Atacul se bazează pe tehnici de inginerie socială care conving victimele să interacționeze cu un proces de verificare fraudulos. Utilizatorii sunt instruiți să își plaseze cardurile de plată în apropierea cipului de comunicare în câmp apropiat (NFC) al dispozitivului mobil, permițând malware-ului să acceseze datele cardului prin intermediul interfeței IsoDep a sistemului de operare Android și al comenzilor EMV.

Odată activat, NFCShare colectează informații esențiale, inclusiv:

  • Numărul cardului de plată
  • Tipul cardului
  • Data expirării
  • Cod PIN format din patru cifre introdus de victimă ca parte a unui proces fals de verificare a securității

Informațiile furate sunt apoi transmise către infrastructura de comandă și control (C2) a atacatorilor printr-un canal de comunicații WebSocket. Aceste date pot fi ulterior utilizate în atacuri de tip NFC payment relay, similare cu cele asociate anterior cu campaniile malware NGate, SuperCard X și RelayNFC.

O amenințare în evoluție cu caracteristici distincte

NFCShare a fost documentat pentru prima dată de cercetătorii în domeniul securității în ianuarie 2026, iar monitorizarea continuă a relevat dezvoltarea și rafinarea continuă a malware-ului. Deși amenințarea are asemănări comportamentale cu alte familii de malware Android care exploatează tehnologia NFC, cercetătorii au identificat diferențe notabile în baza de cod, biblioteci, arhitectură și metode de implementare.

În ciuda acestor distincții, experții consideră că NFCShare ar putea reprezenta în continuare o evoluție a aceluiași ecosistem cibernetic mai amplu și ar putea fi operat de aceiași actori responsabili de campanii conexe.

Lanțul de atac începe cu paginile de phishing bancar

Atacurile recente observate începând cu 14 mai urmează un lanț de infectare atent elaborat. Victimele sunt direcționate mai întâi către site-uri web de phishing care imită portaluri bancare legitime și solicită acreditări bancare online. După furnizarea acestor informații, utilizatorii sunt încurajați să instaleze ceea ce pare a fi o actualizare obligatorie a aplicației bancare.

Victimele sunt apoi redirecționate către un depozit GitHub care găzduiește fișiere APK Android rău intenționate. Cercetătorii observă, de asemenea, că mesajele SMS și apelurile telefonice de la persoane care se prezintă drept reprezentanți ai băncii ar putea fi încorporate în procesul de inginerie socială, deși aceste tehnici nu au fost încă observate direct în campaniile NFCShare.

Depozitul GitHub găzduiește zeci de aplicații bancare false

Depozitul GitHub folosit pentru distribuirea malware-ului a fost creat pe 10 aprilie și a găzduit deja 56 de fișiere APK unice, malițioase, care se prefac a fi aplicații bancare, vizând în principal clienți din Italia și Spania. Printre exemple se numără:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte și Mooney Carte
  • CaixaBank, CaixaBankNfc și CaixaReactivaTarjeta

Cercetătorii au raportat anterior că NFCShare a vizat doar clienții Deutsche Bank din Germania în ianuarie 2026. Ultimele descoperiri sugerează că operatorii de programe malware și-au extins semnificativ raza de acțiune în întreaga Europă.

Tehnici de ofuscare concepute pentru a complica analiza

Una dintre cele mai notabile îmbunătățiri ale celor mai recente variante NFCShare este utilizarea tehnicilor de ambalare APK incorecte, menite să perturbe analiza automată a programelor malware și să interfereze potențial cu anumite instrumente de securitate.

Deși fișierele APK rămân arhive ZIP standard, mostrele mai noi conțin căi de fișiere intenționat incorecte. Aceste căi manipulate pot determina unele instrumente de extragere să interpreteze greșit căile relative interne ca locații reale ale sistemului de fișiere, ceea ce duce la erori de procesare și încercări de analiză eșuate.

Totuși, această tehnică nu împiedică investigarea manuală sau recuperarea codului. În schimb, ea servește în principal la complicarea fluxurilor de lucru de analiză statică și la împiedicarea mecanismelor automate de detectare.

Protecția împotriva infecțiilor NFCShare

Experții în securitate recomandă utilizatorilor de Android să descarce aplicații bancare exclusiv din surse de încredere și reputate, cum ar fi magazine de aplicații oficiale sau site-uri web bancare verificate. De asemenea, utilizatorii ar trebui să fie precauți atunci când se confruntă cu proceduri de verificare neașteptate, în special cele care solicită scanări NFC ale cardurilor sau alte verificări de securitate neobișnuite, deoarece acestea pot indica o tentativă de colectare a informațiilor financiare sensibile.

Trending

Înșelătorie prin e-mail cu oferte și detalii tehnice

phishing, Spam
Infractorii cibernetici își perfecționează constant tacticile pentru a face ca e-mailurile frauduloase să pară convingătoare, motiv pentru care vigilența este esențială ori de câte ori un mesaj neașteptat ajunge într-o căsuță poștală. Chiar și e-mailurile care par profesionale și legate de afaceri pot fi escrocherii atent elaborate, menite să fure informații sensibile. Campania de e-mailuri...

Cele mai văzute

Se încarcă...