NFCShare 安卓恶意软件

通过Mezo在移动恶意软件

翻译为：

网络安全研究人员发现，Android恶意软件NFCShare出现了新的变种，这些变种正通过GitHub上托管的合法银行应用程序的虚假更新进行传播。该威胁已较早期版本显著演变，目前正通过精心设计的网络钓鱼攻击，窃取欧洲多家银行和金融机构的支付卡信息。

该攻击利用社会工程学技巧，诱骗受害者参与欺诈性的验证流程。用户被指示将支付卡靠近移动设备的近场通信 (NFC) 芯片，从而使恶意软件能够通过 Android 的 IsoDep 接口和 EMV 指令访问卡片数据。

激活后，NFCShare 会收集关键信息，包括：

窃取的信息随后通过 WebSocket 通信通道传输到攻击者的命令与控制 (C2) 基础设施。这些数据随后可用于 NFC 支付中继攻击，类似于之前与 NGate、SuperCard X 和 RelayNFC 恶意软件活动相关的攻击。

NFCShare最早于2026年1月被安全研究人员记录在案，持续的监控显示该恶意软件一直在不断发展和完善。尽管该威胁与其他利用NFC技术的Android恶意软件家族在行为上存在相似之处，但研究人员已发现其代码库、库、架构和实现方法存在显著差异。

尽管存在这些区别，但专家认为 NFCShare 仍然可能代表着同一个更广泛的网络犯罪生态系统的演变，并且可能由负责相关活动的同一威胁行为者运营。

自5月14日以来观察到的最新攻击遵循精心设计的感染链。受害者首先被引导至模仿合法银行门户网站的钓鱼网站，这些网站会要求提供网上银行凭证。提供这些信息后，用户会被诱导安装看似强制性的银行应用程序更新。

受害者随后会被重定向到一个托管恶意安卓APK文件的GitHub代码库。研究人员还指出，冒充银行代表发送的短信和电话也可能被纳入社会工程攻击过程中，尽管这些技术尚未在NFCShare攻击活动中被直接观察到。

用于分发恶意软件的 GitHub 代码库创建于 4 月 10 日，目前已托管 56 个独特的恶意 APK 文件，这些文件伪装成银行应用程序，主要针对意大利和西班牙的客户。例如：

Intesa Carte、Sella Carte、Banca Sella Carte、Nexi Carte、Fideuram Carte 和 Mooney Carte
CaixaBank、CaixaBankNfc 和 CaixaReactivaTarjeta

研究人员此前报告称，NFCShare 在 2026 年 1 月期间仅针对德国的德意志银行客户。最新研究结果表明，恶意软件运营者已大幅扩大了其在欧洲的攻击范围。

最新 NFCShare 变种中最值得注意的改进之一是使用畸形 APK 打包技术，旨在干扰自动恶意软件分析，并可能干扰某些安全工具。

尽管 APK 文件仍然是标准的 ZIP 压缩包，但较新的样本中包含故意篡改的文件路径。这些篡改后的路径会导致某些提取工具将内部相对路径误判为实际的文件系统位置，从而导致处理错误和分析失败。

然而，这种技术并不能阻止人工调查或代码恢复。相反，它主要作用是使静态分析工作流程复杂化，并阻碍自动化检测机制。

安全专家建议安卓用户仅从可信赖的可靠来源下载银行应用程序，例如官方应用商店或经过验证的银行网站。用户还应警惕遇到意外的验证程序，尤其是要求扫描NFC卡或其他异常安全检查的程序，因为这些可能表明有人试图窃取敏感的财务信息。

搜索