Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara NFCShare Android-skadlig programvara

NFCShare Android-skadlig programvara

Med Mezo år Mobil skadlig programvara
Översätt till:

Cybersäkerhetsforskare har identifierat nya varianter av Android-skadlig programvaran NFCShare som distribueras genom falska uppdateringar för legitima bankapplikationer som finns på GitHub. Hotet har utvecklats avsevärt från sina tidigare versioner och riktar sig nu mot kunder hos flera banker och finansinstitut över hela Europa genom sofistikerade nätfiskeoperationer utformade för att stjäla betalkortsinformation.

Hur NFCShare stjäl känsliga kortuppgifter

Attacken använder sig av social ingenjörskonst som övertygar offren att interagera med en bedräglig verifieringsprocess. Användare instrueras att placera sina betalkort nära sin mobila enhets NFC-chip (near-field communication), vilket gör att skadlig programvara kan komma åt kortdata via Androids IsoDep-gränssnitt och EMV-kommandon.

När NFCShare är aktiverat samlar den in viktig information, inklusive:

  • Betalkortsnummer
  • Korttyp
  • Utgångsdatum
  • Fyrsiffrig PIN-kod som angetts av offret som en del av en falsk säkerhetsverifieringsprocess

Den stulna informationen överförs sedan till angriparnas kommando- och kontrollinfrastruktur (C2) via en WebSocket-kommunikationskanal. Denna data kan sedan utnyttjas i NFC-betalningsreläattacker liknande de som tidigare förknippats med NGate-, SuperCard X- och RelayNFC-kampanjer med skadlig kod.

Ett föränderligt hot med tydliga egenskaper

NFCShare dokumenterades först av säkerhetsforskare i januari 2026, och kontinuerlig övervakning har avslöjat kontinuerlig utveckling och förfining av den skadliga programvaran. Även om hotet delar beteendemässiga likheter med andra familjer av Android-skadlig programvara som utnyttjar NFC-teknik, har forskare identifierat anmärkningsvärda skillnader i dess kodbas, bibliotek, arkitektur och implementeringsmetoder.

Trots dessa skillnader tror experter att NFCShare fortfarande kan representera en utveckling av samma bredare cyberkriminella ekosystem och kan drivas av samma hotaktörer som ansvarar för relaterade kampanjer.

Attackkedjan börjar med nätfiskesidor från banker

De senaste attackerna som observerats sedan den 14 maj följer en noggrant utformad infektionskedja. Offren leds först till nätfiskewebbplatser som imiterar legitima bankportaler och begär inloggningsuppgifter för internetbanken. Efter att ha lämnat denna information uppmanas användarna att installera vad som verkar vara en obligatorisk uppdatering av bankapplikationen.

Offren omdirigeras sedan till ett GitHub-arkiv som innehåller skadliga Android APK-filer. Forskare noterar också att SMS-meddelanden och telefonsamtal från individer som utger sig för att vara bankrepresentanter potentiellt kan införlivas i social engineering-processen, även om dessa tekniker ännu inte har observerats direkt i NFCShare-kampanjer.

GitHub-arkivet är värd för dussintals falska bankapplikationer

GitHub-arkivet som används för att distribuera skadlig programvara skapades den 10 april och har redan innehållit 56 unika skadliga APK-filer som utger sig för att vara bankapplikationer, främst riktade mot kunder i Italien och Spanien. Exempel inkluderar:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte och Mooney Carte
  • CaixaBank, CaixaBankNfc och CaixaReactivaTarjeta

Forskare rapporterade tidigare att NFCShare endast riktade sig mot Deutsche Banks kunder i Tyskland under januari 2026. De senaste resultaten tyder på att operatörerna av skadlig kod har utökat sitt målområde avsevärt över hela Europa.

Obfuskeringstekniker utformade för att komplicera analys

En av de mest anmärkningsvärda förbättringarna i de senaste NFCShare-varianterna är användningen av felaktiga APK-paketeringstekniker som är avsedda att störa automatiserad analys av skadlig kod och potentiellt störa vissa säkerhetsverktyg.

Även om APK-filerna fortfarande är vanliga ZIP-arkiv, innehåller de nyare exemplen avsiktligt felaktigt utformade sökvägar. Dessa manipulerade sökvägar kan göra att vissa extraheringsverktyg misstolkar interna relativa sökvägar som faktiska filsystemplatser, vilket resulterar i bearbetningsfel och misslyckade analysförsök.

Denna teknik förhindrar dock inte manuell undersökning eller kodinställning. Istället tjänar den främst till att komplicera statiska analysarbetsflöden och hindra automatiserade detekteringsmekanismer.

Skydd mot NFCShare-infektioner

Säkerhetsexperter råder Android-användare att ladda ner bankappar uteslutande från betrodda och välrenommerade källor, såsom officiella appbutiker eller verifierade bankwebbplatser. Användare bör också vara försiktiga när de ställs inför oväntade verifieringsprocedurer, särskilt de som kräver NFC-kortskanningar eller andra ovanliga säkerhetskontroller, eftersom dessa kan tyda på ett försök att stjäla känslig finansiell information.

Trendigt

Mest sedda

Läser in...