NFCShare 安卓惡意軟體

行動惡意軟體年Mezo年

翻譯為：

網路安全研究人員發現，Android惡意軟體NFCShare出現了新的變種，這些變種正透過GitHub上託管的合法銀行應用程式的虛假更新進行傳播。該威脅已較早版本顯著演變，目前正透過精心設計的網路釣魚攻擊，竊取歐洲多家銀行和金融機構的支付卡資訊。

此攻擊利用社會工程技巧，誘騙受害者參與欺詐性的驗證流程。用戶被指示將支付卡靠近行動裝置的近場通訊 (NFC) 晶片，從而使惡意軟體能夠透過 Android 的 IsoDep 介面和 EMV 指令存取卡片資料。

啟動後，NFCShare 會收集關鍵訊息，包括：

竊取的資訊隨後透過 WebSocket 通訊通道傳送到攻擊者的命令與控制 (C2) 基礎設施。這些資料隨後可用於 NFC 支付中繼攻擊，類似於先前與 NGate、SuperCard X 和 RelayNFC 惡意軟體活動相關的攻擊。

NFCShare最快於2026年1月被安全研究人員記錄在案，持續的監控顯示該惡意軟體一直在不斷發展和改進。儘管該威脅與其他利用NFC技術的Android惡意軟體家族在行為上存在相似之處，但研究人員已發現其程式碼庫、程式庫、架構和實作方法有顯著差異。

儘管存在這些區別，專家認為 NFCShare 仍然可能代表著同一個更廣泛的網路犯罪生態系統的演變，並且可能由負責相關活動的相同威脅行為者運作。

自5月14日以來觀察到的最新攻擊遵循精心設計的感染鏈。受害者首先被引導至模仿合法銀行入口網站的釣魚網站，這些網站會要求提供網路銀行憑證。提供這些資訊後，用戶會被誘導安裝看似強制性的銀行應用程式更新。

受害者隨後會被重新導向到一個託管惡意安卓APK檔案的GitHub程式碼庫。研究人員還指出，冒充銀行代表發送的簡訊和電話也可能被納入社會工程攻擊過程中，儘管這些技術尚未在NFCShare攻擊活動中被直接觀察到。

用於分發惡意軟體的 GitHub 程式碼庫創建於 4 月 10 日，目前已託管 56 個獨特的惡意 APK 文件，這些文件偽裝成銀行應用程序，主要針對義大利和西班牙的客戶。例如：

Intesa Carte、Sella Carte、Banca Sella Carte、Nexi Carte、Fideuram Carte 和 Mooney Carte
CaixaBank、CaixaBankNfc 和 CaixaReactivaTarjeta

研究人員先前報告稱，NFCShare 在 2026 年 1 月期間僅針對德國的德意志銀行客戶。最新研究結果表明，惡意軟體業者已大幅擴大了在歐洲的攻擊範圍。

最新 NFCShare 變種中最值得注意的改進之一是使用畸形 APK 打包技術，旨在幹擾自動惡意軟體分析，並可能幹擾某些安全工具。

儘管 APK 檔案仍然是標準的 ZIP 壓縮包，但較新的樣本中包含故意篡改的檔案路徑。這些篡改後的路徑會導致某些提取工具將內部相對路徑誤判為實際的檔案系統位置，導致處理錯誤和分析失敗。

然而，這種技術並不能阻止人工調查或代碼恢復。相反，它主要作用是使靜態分析工作流程複雜化，並阻礙自動化檢測機制。

安全專家建議安卓用戶僅從可信賴的可靠來源下載銀行應用程序，例如官方應用商店或經過驗證的銀行網站。使用者也應警惕遇到意外的驗證程序，尤其是要求掃描NFC卡或其他異常安全檢查的程序，因為這些可能表示有人試圖竊取敏感的財務資訊。

搜索