Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mobil Kötü Amaçlı Yazılım NFCShare Android Kötü Amaçlı Yazılımı

NFCShare Android Kötü Amaçlı Yazılımı

Mezo'de Mobil Kötü Amaçlı Yazılım'de
Çevir:

Siber güvenlik araştırmacıları, GitHub'da barındırılan meşru bankacılık uygulamaları için sahte güncellemeler aracılığıyla dağıtılan Android kötü amaçlı yazılımı NFCShare'in yeni varyantlarını tespit etti. Tehdit, önceki sürümlerine göre önemli ölçüde gelişti ve artık Avrupa genelindeki birçok banka ve finans kuruluşunun müşterilerini, ödeme kartı bilgilerini çalmak için tasarlanmış gelişmiş kimlik avı operasyonlarıyla hedef alıyor.

NFCShare Hassas Kart Verilerini Nasıl Çalıyor?

Saldırı, kurbanları sahte bir doğrulama süreciyle etkileşime girmeye ikna eden sosyal mühendislik tekniklerine dayanmaktadır. Kullanıcılara ödeme kartlarını mobil cihazlarının yakın alan iletişimi (NFC) çipine yaklaştırmaları talimatı verilir; bu da kötü amaçlı yazılımın Android'in IsoDep arayüzü ve EMV komutları aracılığıyla kart verilerine erişmesine olanak tanır.

Etkinleştirildikten sonra NFCShare, aşağıdakiler de dahil olmak üzere kritik bilgileri toplar:

  • Ödeme kartı numarası
  • Kart türü
  • Son kullanma tarihi
  • Sahte güvenlik doğrulama sürecinin bir parçası olarak mağdur tarafından girilen dört haneli PIN kodu.

Çalınan bilgiler daha sonra bir WebSocket iletişim kanalı aracılığıyla saldırganların komuta ve kontrol (C2) altyapısına iletilir. Bu veriler daha sonra, daha önce NGate, SuperCard X ve RelayNFC kötü amaçlı yazılım kampanyalarıyla ilişkilendirilenlere benzer NFC ödeme aktarım saldırılarında kullanılabilir.

Farklı Özelliklere Sahip, Gelişen Bir Tehdit

NFCShare, güvenlik araştırmacıları tarafından ilk olarak Ocak 2026'da belgelenmiştir ve devam eden izleme, kötü amaçlı yazılımın sürekli olarak geliştirildiğini ve iyileştirildiğini ortaya koymuştur. Tehdit, NFC teknolojisini kullanan diğer Android kötü amaçlı yazılım aileleriyle davranışsal benzerlikler gösterse de, araştırmacılar kod tabanında, kütüphanelerinde, mimarisinde ve uygulama yöntemlerinde önemli farklılıklar tespit etmiştir.

Bu farklılıklara rağmen, uzmanlar NFCShare'in aynı daha geniş siber suç ekosisteminin bir evrimini temsil edebileceğine ve benzer kampanyalardan sorumlu aynı tehdit aktörleri tarafından işletilebileceğine inanıyor.

Saldırı zinciri bankacılık kimlik avı sayfalarıyla başlıyor.

14 Mayıs'tan bu yana gözlemlenen son saldırılar, dikkatlice kurgulanmış bir enfeksiyon zincirini takip ediyor. Kurbanlar öncelikle meşru bankacılık portallarını taklit eden ve çevrimiçi bankacılık kimlik bilgilerini isteyen kimlik avı web sitelerine yönlendiriliyor. Bu bilgileri verdikten sonra, kullanıcılardan zorunlu gibi görünen bir bankacılık uygulaması güncellemesi yüklemeleri isteniyor.

Kurbanlar daha sonra kötü amaçlı Android APK dosyalarını barındıran bir GitHub deposuna yönlendiriliyor. Araştırmacılar ayrıca, banka temsilcisi gibi davranan kişilerden gelen SMS mesajlarının ve telefon görüşmelerinin de sosyal mühendislik sürecine dahil edilebileceğini belirtiyor, ancak bu teknikler NFCShare kampanyalarında henüz doğrudan gözlemlenmedi.

GitHub deposunda düzinelerce sahte bankacılık uygulaması bulunuyor.

Kötü amaçlı yazılımı dağıtmak için kullanılan GitHub deposu 10 Nisan'da oluşturuldu ve halihazırda başta İtalya ve İspanya olmak üzere bankacılık uygulamalarını taklit eden 56 farklı kötü amaçlı APK dosyasına ev sahipliği yapıyor. Örnekler şunlardır:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte ve Mooney Carte
  • CaixaBank, CaixaBankNfc ve CaixaReactivaTarjeta

Araştırmacılar daha önce NFCShare'in Ocak 2026'da yalnızca Almanya'daki Deutsche Bank müşterilerini hedef aldığını bildirmişti. Son bulgular, kötü amaçlı yazılım operatörlerinin Avrupa genelinde hedefleme kapsamlarını önemli ölçüde genişlettiğini gösteriyor.

Analizi Zorlaştırmak İçin Tasarlanmış Gizleme Teknikleri

En yeni NFCShare sürümlerindeki en dikkat çekici geliştirmelerden biri, otomatik kötü amaçlı yazılım analizini bozmak ve potansiyel olarak bazı güvenlik araçlarına müdahale etmek amacıyla kullanılan hatalı APK paketleme teknikleridir.

APK dosyaları standart ZIP arşivleri olarak kalsa da, daha yeni örnekler kasıtlı olarak bozuk dosya yolları içermektedir. Bu değiştirilmiş yollar, bazı çıkarma araçlarının dahili göreceli yolları gerçek dosya sistemi konumları olarak yanlış yorumlamasına neden olarak işlem hatalarına ve başarısız analiz girişimlerine yol açabilir.

Ancak bu teknik, manuel incelemeyi veya kod kurtarmayı engellemez. Bunun yerine, öncelikle statik analiz iş akışlarını karmaşıklaştırmaya ve otomatik tespit mekanizmalarını engellemeye yarar.

NFCShare Virüslerine Karşı Korunma

Güvenlik uzmanları, Android kullanıcılarına bankacılık uygulamalarını yalnızca resmi uygulama mağazaları veya doğrulanmış bankacılık web siteleri gibi güvenilir ve saygın kaynaklardan indirmelerini tavsiye ediyor. Kullanıcılar ayrıca, özellikle NFC kart taramaları veya diğer olağandışı güvenlik kontrolleri isteyen beklenmedik doğrulama prosedürleriyle karşılaştıklarında dikkatli olmalıdır, çünkü bunlar hassas finansal bilgileri ele geçirme girişimini gösterebilir.

trend

Fiyat Teklifi ve Teknik Detaylar E-posta...

Kimlik avı, İstenmeyen e-posta
Siber suçlular, sahte e-postaların inandırıcı görünmesi için taktiklerini sürekli olarak geliştiriyorlar; bu nedenle, gelen kutunuza beklenmedik bir mesaj geldiğinde dikkatli olmak çok önemlidir. Profesyonel ve işle ilgili görünen e-postalar bile, hassas bilgileri çalmak için tasarlanmış, özenle hazırlanmış dolandırıcılık yöntemleri olabilir. 'Teklif ve Teknik Detaylar' e-posta kampanyası da bu...

En çok görüntülenen

Yükleniyor...