NFCShare มัลแวร์ Android
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุพบมัลแวร์ Android ชื่อ NFCShare เวอร์ชันใหม่ที่กำลังแพร่กระจายผ่านการอัปเดตปลอมสำหรับแอปพลิเคชันธนาคารที่ถูกต้องตามกฎหมาย ซึ่งโฮสต์อยู่บน GitHub ภัยคุกคามนี้ได้พัฒนาไปอย่างมากจากเวอร์ชันก่อนหน้า และขณะนี้กำลังมุ่งเป้าไปที่ลูกค้าของธนาคารและสถาบันการเงินหลายแห่งทั่วยุโรป ผ่านปฏิบัติการฟิชชิ่งที่ซับซ้อนซึ่งออกแบบมาเพื่อขโมยข้อมูลบัตรชำระเงิน
สารบัญ
NFCShare ขโมยข้อมูลบัตรเครดิตที่สำคัญได้อย่างไร
การโจมตีนี้อาศัยเทคนิคทางสังคมที่หลอกล่อเหยื่อให้มีส่วนร่วมในกระบวนการตรวจสอบปลอม ผู้ใช้จะได้รับคำแนะนำให้วางบัตรชำระเงินไว้ใกล้กับชิป NFC ของอุปกรณ์มือถือ ซึ่งจะทำให้มัลแวร์สามารถเข้าถึงข้อมูลบัตรผ่านอินเทอร์เฟซ IsoDep และคำสั่ง EMV ของ Android ได้
เมื่อเปิดใช้งาน NFCShare จะรวบรวมข้อมูลสำคัญต่างๆ รวมถึง:
- หมายเลขบัตรชำระเงิน
- ประเภทบัตร
- วันหมดอายุ
- รหัส PIN สี่หลักที่เหยื่อป้อนเข้าไปในขั้นตอนการตรวจสอบความปลอดภัยปลอม
จากนั้นข้อมูลที่ถูกขโมยจะถูกส่งต่อไปยังโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ของผู้โจมตีผ่านช่องทางการสื่อสาร WebSocket ข้อมูลนี้สามารถนำไปใช้ในการโจมตีแบบส่งต่อการชำระเงิน NFC ได้เช่นเดียวกับที่เคยเกิดขึ้นกับมัลแวร์ NGate, SuperCard X และ RelayNFC ก่อนหน้านี้
ภัยคุกคามที่เปลี่ยนแปลงไปพร้อมลักษณะเฉพาะที่แตกต่างกัน
NFCShare ถูกบันทึกครั้งแรกโดยนักวิจัยด้านความปลอดภัยในเดือนมกราคม 2026 และการตรวจสอบอย่างต่อเนื่องได้เปิดเผยให้เห็นถึงการพัฒนาและการปรับปรุงอย่างต่อเนื่องของมัลแวร์นี้ แม้ว่าภัยคุกคามนี้จะมีพฤติกรรมคล้ายคลึงกับตระกูลมัลแวร์ Android อื่นๆ ที่ใช้ประโยชน์จากเทคโนโลยี NFC แต่นักวิจัยได้ระบุความแตกต่างที่สำคัญในโค้ดเบส ไลบรารี สถาปัตยกรรม และวิธีการใช้งาน
ถึงแม้จะมีข้อแตกต่างเหล่านี้ ผู้เชี่ยวชาญเชื่อว่า NFCShare อาจยังคงเป็นวิวัฒนาการของระบบนิเวศอาชญากรไซเบอร์ในวงกว้าง และอาจดำเนินการโดยผู้ก่อภัยคุกคามกลุ่มเดียวกันกับที่รับผิดชอบแคมเปญที่เกี่ยวข้อง
ห่วงโซ่การโจมตีเริ่มต้นด้วยหน้าเว็บฟิชชิ่งเกี่ยวกับการธนาคาร
การโจมตีที่เกิดขึ้นล่าสุดนับตั้งแต่วันที่ 14 พฤษภาคม เป็นไปตามห่วงโซ่การติดเชื้อที่วางแผนมาอย่างรอบคอบ เหยื่อจะถูกนำไปยังเว็บไซต์ฟิชชิ่งที่เลียนแบบเว็บไซต์ธนาคารที่ถูกต้อง และขอข้อมูลประจำตัวสำหรับการเข้าสู่ระบบธนาคารออนไลน์ หลังจากให้ข้อมูลนี้แล้ว ผู้ใช้จะถูกชักชวนให้ติดตั้งสิ่งที่ดูเหมือนจะเป็นการอัปเดตแอปพลิเคชันธนาคารที่จำเป็น
จากนั้นเหยื่อจะถูกเปลี่ยนเส้นทางไปยังที่เก็บข้อมูล GitHub ที่โฮสต์ไฟล์ APK ของ Android ที่เป็นอันตราย นักวิจัยยังตั้งข้อสังเกตอีกว่า ข้อความ SMS และการโทรจากบุคคลที่แอบอ้างเป็นตัวแทนธนาคารอาจถูกนำมาใช้ในกระบวนการหลอกลวงทางสังคมได้เช่นกัน แม้ว่าเทคนิคเหล่านี้ยังไม่ได้รับการสังเกตโดยตรงในแคมเปญ NFCShare ก็ตาม
คลังเก็บข้อมูล GitHub รวบรวมแอปพลิเคชันธนาคารปลอมหลายสิบรายการ
คลังเก็บข้อมูล GitHub ที่ใช้ในการเผยแพร่มัลแวร์ถูกสร้างขึ้นเมื่อวันที่ 10 เมษายน และได้จัดเก็บไฟล์ APK ที่เป็นอันตรายถึง 56 ไฟล์ ซึ่งปลอมแปลงเป็นแอปพลิเคชันธนาคาร โดยส่วนใหญ่มุ่งเป้าไปที่ลูกค้าในอิตาลีและสเปน ตัวอย่างเช่น:
- Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte และ Mooney Carte
- CaixaBank, CaixaBankNfc และ CaixaReactivaTarjeta
ก่อนหน้านี้ นักวิจัยรายงานว่า NFCShare มุ่งเป้าโจมตีเฉพาะลูกค้าของ Deutsche Bank ในประเทศเยอรมนีในช่วงเดือนมกราคม 2026 เท่านั้น แต่ผลการค้นพบล่าสุดชี้ให้เห็นว่าผู้ดำเนินการมัลแวร์ได้ขยายขอบเขตการโจมตีไปทั่วทวีปยุโรปอย่างมีนัยสำคัญ
เทคนิคการปกปิดข้อมูลที่ออกแบบมาเพื่อทำให้การวิเคราะห์ซับซ้อนขึ้น
หนึ่งในจุดเด่นที่สุดของการปรับปรุงใน NFCShare เวอร์ชันล่าสุดคือการใช้เทคนิคการบรรจุไฟล์ APK ที่ผิดรูปแบบ ซึ่งมีจุดประสงค์เพื่อขัดขวางการวิเคราะห์มัลแวร์อัตโนมัติ และอาจรบกวนเครื่องมือรักษาความปลอดภัยบางอย่างได้
แม้ว่าไฟล์ APK จะยังคงเป็นไฟล์ ZIP มาตรฐาน แต่ตัวอย่างใหม่ๆ นั้นมีการดัดแปลงเส้นทางไฟล์โดยเจตนา เส้นทางที่ถูกดัดแปลงเหล่านี้อาจทำให้เครื่องมือแยกไฟล์บางตัวตีความเส้นทางสัมพัทธ์ภายในผิดพลาดว่าเป็นตำแหน่งไฟล์จริง ส่งผลให้เกิดข้อผิดพลาดในการประมวลผลและการวิเคราะห์ล้มเหลว
อย่างไรก็ตาม เทคนิคนี้ไม่ได้ป้องกันการตรวจสอบด้วยตนเองหรือการกู้คืนโค้ด แต่กลับทำให้ขั้นตอนการวิเคราะห์แบบคงที่ซับซ้อนขึ้นและขัดขวางกลไกการตรวจจับอัตโนมัติเป็นหลัก
การป้องกันการติดเชื้อ NFCShare
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้ผู้ใช้ Android ดาวน์โหลดแอปพลิเคชันธนาคารจากแหล่งที่น่าเชื่อถือและมีชื่อเสียงเท่านั้น เช่น ร้านค้าแอปอย่างเป็นทางการหรือเว็บไซต์ธนาคารที่ได้รับการตรวจสอบแล้ว ผู้ใช้ควรระมัดระวังเมื่อพบกับขั้นตอนการตรวจสอบที่ไม่คาดคิด โดยเฉพาะอย่างยิ่งขั้นตอนที่ขอให้สแกนบัตร NFC หรือการตรวจสอบความปลอดภัยที่ผิดปกติอื่นๆ เนื่องจากอาจบ่งชี้ถึงความพยายามในการเก็บรวบรวมข้อมูลทางการเงินที่ละเอียดอ่อน
