Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér NFCShare pre Android – malvér

NFCShare pre Android – malvér

Do roku Mezo v roku Mobilný malvér
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nové varianty malvéru pre Android NFCShare, ktorý sa šíri prostredníctvom falošných aktualizácií pre legitímne bankové aplikácie hostované na GitHub. Hrozba sa od svojich predchádzajúcich verzií výrazne vyvinula a teraz sa zameriava na zákazníkov viacerých bánk a finančných inštitúcií v celej Európe prostredníctvom sofistikovaných phishingových operácií určených na krádež informácií o platobných kartách.

Ako NFCShare kradne citlivé údaje o kartách

Útok sa spolieha na techniky sociálneho inžinierstva, ktoré presvedčia obete, aby sa podieľali na podvodnom overovacom procese. Používatelia sú inštruovaní, aby priložili svoje platobné karty k čipu NFC (Near Field Communication) svojho mobilného zariadenia, čo umožňuje malvéru prístup k údajom o karte prostredníctvom rozhrania IsoDep systému Android a príkazov EMV.

Po aktivácii NFCShare zhromažďuje dôležité informácie vrátane:

  • Číslo platobnej karty
  • Typ karty
  • Dátum expirácie
  • Štvormiestny PIN kód zadaný obeťou ako súčasť falošného procesu bezpečnostného overenia

Ukradnuté informácie sa potom prenášajú do infraštruktúry velenia a riadenia (C2) útočníkov prostredníctvom komunikačného kanála WebSocket. Tieto údaje možno následne využiť pri útokoch na platobné relé NFC, podobných tým, ktoré boli predtým spojené s kampaňami malvéru NGate, SuperCard X a RelayNFC.

Vyvíjajúca sa hrozba s charakteristickými znakmi

Bezpečnostní výskumníci prvýkrát zdokumentovali hrozbu NFCShare v januári 2026 a prebiehajúce monitorovanie odhalilo neustály vývoj a zdokonaľovanie tohto malvéru. Hoci táto hrozba má podobné správanie s inými rodinami malvéru pre Android, ktoré využívajú technológiu NFC, výskumníci identifikovali výrazné rozdiely v jej kódovej základni, knižniciach, architektúre a metódach implementácie.

Napriek týmto rozdielom sa odborníci domnievajú, že NFCShare by mohol stále predstavovať evolúciu toho istého širšieho ekosystému kybernetickej kriminality a môžu ho prevádzkovať tí istí aktéri kybernetických útokov, ktorí sú zodpovední za súvisiace kampane.

Reťazec útokov začína bankovými phishingovými stránkami

Nedávne útoky pozorované od 14. mája sledujú starostlivo prepracovaný reťazec infekcií. Obete sú najprv presmerované na phishingové webové stránky, ktoré napodobňujú legitímne bankové portály a požadujú prihlasovacie údaje k online bankovníctvu. Po poskytnutí týchto informácií sú používatelia vyzvaní, aby si nainštalovali aktualizáciu bankovej aplikácie, ktorá sa javí ako povinná.

Obete sú potom presmerované na repozitár GitHub, ktorý obsahuje škodlivé súbory APK pre systém Android. Výskumníci tiež poznamenávajú, že SMS správy a telefonáty od jednotlivcov vydávajúcich sa za zástupcov bánk by mohli byť potenciálne začlenené do procesu sociálneho inžinierstva, hoci tieto techniky zatiaľ neboli priamo pozorované v kampaniach NFCShare.

Repozitár GitHub hostí desiatky falošných bankových aplikácií

Repozitár GitHub, ktorý sa používa na distribúciu malvéru, bol vytvorený 10. apríla a už obsahuje 56 unikátnych škodlivých súborov APK, ktoré sa vydávajú za bankové aplikácie a sú zamerané predovšetkým na zákazníkov v Taliansku a Španielsku. Medzi príklady patria:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte a Mooney Carte
  • CaixaBank, CaixaBankNfc a CaixaReactivaTarjeta

Výskumníci predtým informovali, že NFCShare sa v januári 2026 zameriaval iba na zákazníkov Deutsche Bank v Nemecku. Najnovšie zistenia naznačujú, že prevádzkovatelia malvéru výrazne rozšírili svoj rozsah zacielenia v celej Európe.

Techniky zahmlievania určené na komplikáciu analýzy

Jedným z najvýznamnejších vylepšení v najnovších variantoch NFCShare je použitie techník balenia chybných súborov APK, ktoré majú narušiť automatickú analýzu škodlivého softvéru a potenciálne ovplyvniť niektoré bezpečnostné nástroje.

Hoci súbory APK zostávajú štandardnými ZIP archívmi, novšie vzorky obsahujú zámerne poškodené cesty k súborom. Tieto manipulované cesty môžu spôsobiť, že niektoré nástroje na extrakciu nesprávne interpretujú interné relatívne cesty ako skutočné umiestnenia v súborovom systéme, čo vedie k chybám pri spracovaní a neúspešným pokusom o analýzu.

Táto technika však nebráni manuálnemu skúmaniu ani obnove kódu. Namiesto toho primárne komplikuje pracovné postupy statickej analýzy a bráni automatizovaným detekčným mechanizmom.

Ochrana pred infekciami NFCShare

Bezpečnostní experti radia používateľom systému Android, aby si sťahovali bankové aplikácie výlučne z dôveryhodných a renomovaných zdrojov, ako sú oficiálne obchody s aplikáciami alebo overené webové stránky bánk. Používatelia by mali byť tiež opatrní, keď sa stretnú s neočakávanými overovacími postupmi, najmä s tými, ktoré vyžadujú skenovanie NFC kariet alebo iné nezvyčajné bezpečnostné kontroly, pretože môžu naznačovať pokus o získanie citlivých finančných informácií.

Trendy

Podvod s cenovou ponukou a technickými podrobnosťami...

Phishing, Spam
Kyberzločinci neustále zdokonaľujú svoje taktiky, aby podvodné e-maily pôsobili presvedčivo, a preto je ostražitosť nevyhnutná vždy, keď do schránky dorazí neočakávaná správa. Dokonca aj e-maily, ktoré sa zdajú byť profesionálne a súvisiace s podnikaním, môžu byť starostlivo premyslenými podvodmi určenými na krádež citlivých informácií. E-mailová kampaň s názvom „Cenové ponuky a technické...

Najviac videné

Načítava...