Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại di động NFCShare Android Malware

NFCShare Android Malware

Đến năm Mezo năm Phần mềm độc hại di động
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã xác định được các biến thể mới của phần mềm độc hại Android NFCShare đang được phát tán thông qua các bản cập nhật giả mạo cho các ứng dụng ngân hàng hợp pháp được lưu trữ trên GitHub. Mối đe dọa này đã phát triển đáng kể so với các phiên bản trước đó và hiện đang nhắm mục tiêu vào khách hàng của nhiều ngân hàng và tổ chức tài chính trên khắp châu Âu thông qua các hoạt động lừa đảo tinh vi được thiết kế để đánh cắp thông tin thẻ thanh toán.

NFCShare đánh cắp dữ liệu thẻ nhạy cảm như thế nào?

Cuộc tấn công dựa vào các kỹ thuật lừa đảo xã hội nhằm thuyết phục nạn nhân tương tác với quy trình xác minh gian lận. Người dùng được hướng dẫn đặt thẻ thanh toán của họ gần chip giao tiếp trường gần (NFC) của thiết bị di động, cho phép phần mềm độc hại truy cập dữ liệu thẻ thông qua giao diện IsoDep và các lệnh EMV của Android.

Sau khi được kích hoạt, NFCShare sẽ thu thập các thông tin quan trọng, bao gồm:

  • Số thẻ thanh toán
  • Loại thẻ
  • Ngày hết hạn
  • Mã PIN bốn chữ số do nạn nhân nhập vào như một phần của quy trình xác minh bảo mật giả mạo.

Thông tin bị đánh cắp sau đó được truyền đến cơ sở hạ tầng điều khiển và kiểm soát (C2) của kẻ tấn công thông qua kênh liên lạc WebSocket. Dữ liệu này sau đó có thể được sử dụng trong các cuộc tấn công chuyển tiếp thanh toán NFC tương tự như những cuộc tấn công đã từng liên quan đến các chiến dịch phần mềm độc hại NGate, SuperCard X và RelayNFC.

Một mối đe dọa đang phát triển với những đặc điểm riêng biệt

NFCShare được các nhà nghiên cứu bảo mật ghi nhận lần đầu tiên vào tháng 1 năm 2026, và việc giám sát liên tục cho thấy sự phát triển và hoàn thiện không ngừng của phần mềm độc hại này. Mặc dù mối đe dọa này có những điểm tương đồng về hành vi với các họ phần mềm độc hại Android khác khai thác công nghệ NFC, nhưng các nhà nghiên cứu đã xác định được những điểm khác biệt đáng chú ý trong mã nguồn, thư viện, kiến trúc và phương pháp triển khai của nó.

Bất chấp những điểm khác biệt này, các chuyên gia tin rằng NFCShare vẫn có thể đại diện cho sự phát triển của cùng một hệ sinh thái tội phạm mạng rộng lớn hơn và có thể được vận hành bởi cùng các tác nhân đe dọa chịu trách nhiệm cho các chiến dịch liên quan.

Chuỗi tấn công bắt đầu từ các trang web lừa đảo ngân hàng.

Các cuộc tấn công gần đây được ghi nhận kể từ ngày 14 tháng 5 đều theo một chuỗi lây nhiễm được thiết kế tỉ mỉ. Nạn nhân đầu tiên bị dẫn đến các trang web lừa đảo giả mạo các cổng thông tin ngân hàng hợp pháp và yêu cầu thông tin đăng nhập ngân hàng trực tuyến. Sau khi cung cấp thông tin này, người dùng được khuyến khích cài đặt một ứng dụng cập nhật ngân hàng có vẻ như là bắt buộc.

Các nạn nhân sau đó bị chuyển hướng đến một kho lưu trữ GitHub chứa các tệp APK Android độc hại. Các nhà nghiên cứu cũng lưu ý rằng tin nhắn SMS và cuộc gọi điện thoại từ những cá nhân giả danh đại diện ngân hàng có thể được tích hợp vào quá trình lừa đảo qua mạng xã hội, mặc dù những kỹ thuật này vẫn chưa được quan sát trực tiếp trong các chiến dịch NFCShare.

Kho lưu trữ GitHub chứa hàng chục ứng dụng ngân hàng giả mạo.

Kho lưu trữ GitHub được sử dụng để phân phối phần mềm độc hại được tạo vào ngày 10 tháng 4 và đã chứa 56 tệp APK độc hại khác nhau giả mạo các ứng dụng ngân hàng, chủ yếu nhắm mục tiêu vào khách hàng ở Ý và Tây Ban Nha. Ví dụ bao gồm:

  • Intesa Carte, Sella Carte, Banca Sella Carte, Nexi Carte, Fideuram Carte và Mooney Carte
  • CaixaBank, CaixaBankNfc và CaixaReactivaTarjeta

Các nhà nghiên cứu trước đây đã báo cáo rằng NFCShare chỉ nhắm mục tiêu vào khách hàng của Deutsche Bank tại Đức trong tháng 1 năm 2026. Những phát hiện mới nhất cho thấy các nhà điều hành phần mềm độc hại đã mở rộng đáng kể phạm vi nhắm mục tiêu của chúng trên khắp châu Âu.

Các kỹ thuật làm mờ nhằm mục đích làm phức tạp quá trình phân tích

Một trong những cải tiến đáng chú ý nhất trong các phiên bản NFCShare mới nhất là việc sử dụng các kỹ thuật đóng gói APK bị lỗi nhằm mục đích phá vỡ quá trình phân tích phần mềm độc hại tự động và có khả năng can thiệp vào một số công cụ bảo mật.

Mặc dù các tệp APK vẫn là các tệp lưu trữ ZIP tiêu chuẩn, nhưng các mẫu mới hơn chứa các đường dẫn tệp bị biến dạng một cách cố ý. Các đường dẫn bị thao túng này có thể khiến một số công cụ giải nén hiểu nhầm các đường dẫn tương đối bên trong là vị trí thực tế trong hệ thống tệp, dẫn đến lỗi xử lý và các nỗ lực phân tích thất bại.

Tuy nhiên, kỹ thuật này không ngăn cản việc điều tra thủ công hoặc khôi phục mã. Thay vào đó, nó chủ yếu làm phức tạp quy trình phân tích tĩnh và cản trở các cơ chế phát hiện tự động.

Bảo vệ chống lại các cuộc tấn công NFCShare

Các chuyên gia bảo mật khuyên người dùng Android chỉ nên tải xuống các ứng dụng ngân hàng từ các nguồn đáng tin cậy và uy tín, chẳng hạn như các cửa hàng ứng dụng chính thức hoặc các trang web ngân hàng đã được xác minh. Người dùng cũng nên thận trọng khi gặp phải các quy trình xác minh bất ngờ, đặc biệt là những quy trình yêu cầu quét thẻ NFC hoặc các kiểm tra bảo mật bất thường khác, vì đây có thể là dấu hiệu của một nỗ lực thu thập thông tin tài chính nhạy cảm.

xu hướng

Lừa đảo qua email về báo giá và chi tiết kỹ thuật

Lừa đảo, Thư rác
Tội phạm mạng liên tục tinh chỉnh các thủ đoạn để làm cho email lừa đảo trông thuyết phục hơn, đó là lý do tại sao sự cảnh giác là điều cần thiết mỗi khi có một tin nhắn bất ngờ xuất hiện trong hộp thư đến. Ngay cả những email có vẻ chuyên nghiệp và liên quan đến công việc cũng có thể là những trò lừa đảo được dàn dựng tinh vi nhằm đánh cắp thông tin nhạy cảm. Chiến dịch email "Báo giá và Chi...

Xem nhiều nhất

Đang tải...