Вредоносная программа NFCShare для Android
Исследователи в области кибербезопасности выявили новые варианты вредоносного ПО для Android под названием NFCShare, распространяемые через поддельные обновления для легитимных банковских приложений, размещенных на GitHub. Угроза значительно эволюционировала по сравнению с предыдущими версиями и теперь нацелена на клиентов множества банков и финансовых учреждений по всей Европе с помощью сложных фишинговых операций, направленных на кражу информации о платежных картах.
Оглавление
Как NFCShare крадет конфиденциальные данные банковских карт
Атака основана на методах социальной инженерии, которые убеждают жертв взаимодействовать с мошенническим процессом проверки. Пользователям предлагается поднести свои платежные карты к чипу ближней связи (NFC) мобильного устройства, что позволяет вредоносной программе получить доступ к данным карты через интерфейс IsoDep Android и команды EMV.
После активации NFCShare собирает важную информацию, в том числе:
- номер платежной карты
- Тип карты
- Дата окончания срока
- Четырехзначный PIN-код, введенный жертвой в рамках поддельной процедуры проверки безопасности.
Украденная информация затем передается в командно-контрольную (C2) инфраструктуру злоумышленников через канал связи WebSocket. Эти данные впоследствии могут быть использованы в атаках с использованием NFC-платежей, аналогичных тем, которые ранее были связаны с вредоносными программами NGate, SuperCard X и RelayNFC.
Развивающаяся угроза с отличительными характеристиками.
Вредоносная программа NFCShare была впервые обнаружена исследователями безопасности в январе 2026 года, и постоянный мониторинг выявил непрерывное развитие и усовершенствование этого вредоносного ПО. Хотя угроза имеет сходства в поведении с другими семействами вредоносных программ для Android, использующих технологию NFC, исследователи выявили существенные различия в ее кодовой базе, библиотеках, архитектуре и методах реализации.
Несмотря на эти различия, эксперты считают, что NFCShare все же может представлять собой эволюцию той же более широкой экосистемы киберпреступников и может управляться теми же субъектами, которые несут ответственность за аналогичные кампании.
Цепочка атак начинается с фишинговых страниц, связанных с банковскими операциями.
Последние атаки, зафиксированные с 14 мая, следуют тщательно продуманной цепочке заражения. Жертвы сначала попадают на фишинговые веб-сайты, имитирующие легитимные банковские порталы, и запрашивают учетные данные для онлайн-банкинга. После предоставления этой информации пользователям предлагается установить, как кажется, обязательное обновление банковского приложения.
Затем жертв перенаправляют на репозиторий GitHub, содержащий вредоносные APK-файлы для Android. Исследователи также отмечают, что SMS-сообщения и телефонные звонки от лиц, выдающих себя за сотрудников банка, потенциально могут быть включены в процесс социальной инженерии, хотя эти методы еще не были непосредственно зафиксированы в кампаниях NFCShare.
В репозитории GitHub размещены десятки поддельных банковских приложений.
Репозиторий GitHub, используемый для распространения вредоносного ПО, был создан 10 апреля и уже содержит 56 уникальных вредоносных APK-файлов, имитирующих банковские приложения, в основном нацеленных на клиентов в Италии и Испании. Примеры включают:
- Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte и Mooney Carte
- CaixaBank, CaixaBankNfc и CaixaReactivaTarjeta
Ранее исследователи сообщали, что в январе 2026 года NFCShare атаковал только клиентов Deutsche Bank в Германии. Последние данные свидетельствуют о том, что операторы вредоносного ПО значительно расширили зону своего воздействия на всю Европу.
Методы сокрытия информации, призванные усложнить анализ.
Одним из наиболее заметных улучшений в последних вариантах NFCShare является использование методов создания некорректных APK-файлов, предназначенных для нарушения автоматического анализа вредоносного ПО и потенциального вмешательства в работу некоторых инструментов безопасности.
Хотя APK-файлы по-прежнему представляют собой стандартные ZIP-архивы, в более новых образцах намеренно искажены пути к файлам. Эти измененные пути могут привести к тому, что некоторые инструменты извлечения будут ошибочно интерпретировать внутренние относительные пути как фактические местоположения в файловой системе, что приведет к ошибкам обработки и неудачным попыткам анализа.
Однако этот метод не предотвращает ручное исследование или восстановление кода. Вместо этого он, в первую очередь, усложняет рабочие процессы статического анализа и препятствует работе механизмов автоматического обнаружения.
Защита от заражения NFCShare
Эксперты по безопасности советуют пользователям Android загружать банковские приложения исключительно из надежных и проверенных источников, таких как официальные магазины приложений или проверенные банковские веб-сайты. Пользователям также следует проявлять осторожность при столкновении с неожиданными процедурами проверки, особенно с теми, которые требуют сканирования NFC-карт или других необычных проверок безопасности, поскольку это может указывать на попытку получения конфиденциальной финансовой информации.
