Шкідливе програмне забезпечення NFCShare для Android
Дослідники з кібербезпеки виявили нові варіанти шкідливого програмного забезпечення для Android NFCShare, що поширюється через підроблені оновлення для легітимних банківських додатків, розміщених на GitHub. Загроза значно еволюціонувала порівняно з попередніми версіями і тепер націлена на клієнтів багатьох банків та фінансових установ по всій Європі за допомогою складних фішингових операцій, призначених для крадіжки інформації про платіжні картки.
Зміст
Як NFCShare викрадає конфіденційні дані карток
Атака спирається на методи соціальної інженерії, які переконують жертв взаємодіяти з шахрайським процесом верифікації. Користувачам доручають розмістити свої платіжні картки поблизу чіпа ближнього радіального зв'язку (NFC) свого мобільного пристрою, що дозволяє шкідливому програмному забезпеченню отримувати доступ до даних карток через інтерфейс IsoDep Android та команди EMV.
Після активації NFCShare збирає важливу інформацію, зокрема:
- Номер платіжної картки
- Тип картки
- Термін дії
- Чотиризначний PIN-код, введений жертвою в рамках фальшивої перевірки безпеки
Викрадена інформація потім передається до інфраструктури командування та управління (C2) зловмисників через канал зв'язку WebSocket. Ці дані згодом можуть бути використані в атаках на платіжні ретрансляції NFC, подібних до тих, що раніше були пов'язані з кампаніями шкідливих програм NGate, SuperCard X та RelayNFC.
Загроза, що розвивається, з чіткими характеристиками
NFCShare вперше було задокументовано дослідниками безпеки у січні 2026 року, а постійний моніторинг виявив постійний розвиток та вдосконалення цього шкідливого програмного забезпечення. Хоча загроза має схожу поведінку з іншими сімействами шкідливих програм для Android, які використовують технологію NFC, дослідники виявили помітні відмінності в її кодовій базі, бібліотеках, архітектурі та методах реалізації.
Незважаючи на ці відмінності, експерти вважають, що NFCShare все ще може представляти собою еволюцію тієї ж ширшої кіберзлочинної екосистеми та може керуватися тими ж самими кіберзлочинцями, що й пов'язані з ними кампанії.
Ланцюг атак починається з банківських фішингових сторінок
Нещодавні атаки, що спостерігалися з 14 травня, слідують ретельно розробленому ланцюгу зараження. Жертв спочатку перенаправляють на фішингові веб-сайти, які імітують легітимні банківські портали та запитують облікові дані онлайн-банкінгу. Після надання цієї інформації користувачам рекомендується встановити те, що виглядає як обов'язкове оновлення банківської програми.
Потім жертв перенаправляють до репозиторію GitHub, де розміщено шкідливі файли APK для Android. Дослідники також зазначають, що SMS-повідомлення та телефонні дзвінки від осіб, які видають себе за представників банків, потенційно можуть бути включені в процес соціальної інженерії, хоча ці методи ще безпосередньо не спостерігалися в кампаніях NFCShare.
Репозиторій GitHub містить десятки фальшивих банківських додатків
Репозиторій GitHub, який використовувався для розповсюдження шкідливого програмного забезпечення, був створений 10 квітня і вже містить 56 унікальних шкідливих APK-файлів, що видають себе за банківські додатки, в основному спрямованих на клієнтів в Італії та Іспанії. Приклади включають:
- Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte і Mooney Carte
- CaixaBank, CaixaBankNfc і CaixaReactivaTarjeta
Раніше дослідники повідомляли, що NFCShare атакував лише клієнтів Deutsche Bank у Німеччині протягом січня 2026 року. Останні дані свідчать про те, що оператори шкідливого програмного забезпечення значно розширили сферу своєї діяльності по всій Європі.
Методи обфускації, розроблені для ускладнення аналізу
Одним із найпомітніших удосконалень в останніх варіантах NFCShare є використання методів пакування APK з некоректним форматуванням, призначених для порушення роботи автоматизованого аналізу шкідливих програм та потенційного перешкоджання роботі певних інструментів безпеки.
Хоча APK-файли залишаються стандартними ZIP-архівами, новіші зразки містять навмисно спотворені шляхи до файлів. Ці маніпульовані шляхи можуть призвести до того, що деякі інструменти розпакування неправильно інтерпретуватимуть внутрішні відносні шляхи як фактичні розташування файлової системи, що призведе до помилок обробки та невдалих спроб аналізу.
Однак цей метод не запобігає ручному дослідженню чи відновленню коду. Натомість він переважно ускладнює робочі процеси статичного аналізу та перешкоджає роботі автоматизованих механізмів виявлення.
Захист від інфекцій NFCShare
Експерти з безпеки радять користувачам Android завантажувати банківські програми виключно з перевірених та авторитетних джерел, таких як офіційні магазини додатків або перевірені банківські веб-сайти. Користувачам також слід бути обережними, стикаючись із неочікуваними процедурами перевірки, особливо тими, що вимагають сканування NFC-карт або інших незвичайних перевірок безпеки, оскільки це може свідчити про спробу вилучення конфіденційної фінансової інформації.
