Android малверот NFCShare се шири преку лажни ажурирања на банкарски апликации хостирани на GitHub

Нови варијанти на Android малверот NFCShare се дистрибуираат како лажни ажурирања за легитимни банкарски апликации поставени на GitHub.

Малверот еволуирал и сега ги таргетира клиентите на повеќе банки и финансиски институции низ Европа во фишинг-кампања насочена кон кражба на податоци од платежни картички.

Откако ќе ги измами жртвите преку лажен екран за верификација и ќе ги наведе да ја доближат својата картичка до NFC (Near Field Communication) чипот на мобилниот уред, NFCShare ги чита податоците користејќи го Android IsoDep интерфејсот и EMV командите.

Малверот ги краде следните информации:

• Бројот на платежната картичка
• Типот на картичката
• Датумот на истекување
• Четирицифрениот PIN код што жртвата го внесува под изговор дека станува збор за безбедносна проверка

Потоа украдените податоци се испраќаат до командно-контролниот (C2) сервер на напаѓачот преку WebSocket комуникациски канал.

Информациите собрани на овој начин подоцна можат да се искористат во таканаречени NFC payment relay напади, како што беше документирано кај малверите:

• NGate
• SuperCard X
• RelayNFC

Во овие сценарија, напаѓачите можат да ги препраќаат NFC податоците во реално време и да вршат неовластени бесконтактни плаќања без физички да ја поседуваат картичката.

NFCShare првпат беше документиран од истражувачите на D3Lab во јануари 2026 година, кои оттогаш ја следат неговата активност и еволуција.

Истражувачот на D3Lab, Andrea Draghetti, изјавил за BleepingComputer дека, и покрај сличностите со други Android малвери кои ги злоупотребуваат NFC чиповите за кражба на податоци, NFCShare користи различен код, библиотеки, архитектура и детали на имплементација.

Сепак, Драгети истакнал дека малверот би можел да претставува еволуција на истиот криминален екосистем, управуван од истите заканувачки актери.

Неодамнешните напади со NFCShare, забележани од 14 мај наваму, започнуваат така што жртвата посетува фишинг-страница која имитира вистинска банка и бара внесување на банкарски акредитиви.

Потоа жртвите се известуваат дека треба да ја ажурираат својата банкарска апликација и се пренасочуваат кон GitHub репозиториум кој содржи злонамерна APK датотека.

На овој начин напаѓачите ја злоупотребуваат довербата на корисниците во познати банкарски брендови и во платформата GitHub за да ги убедат да инсталираат малициозен софтвер на своите Android уреди.

Истражувачите наведуваат дека како дел од процесот на социјален инженеринг можат да се користат и SMS пораки или телефонски повици од лажни банкарски претставници, како што е забележано во слични напади. Сепак, истражувачите од D3Lab не ги забележале директно овие методи во текот на својата истрага.

Од неговото создавање на 10 април, GitHub репозиториумот што се користел за дистрибуција на NFCShare содржел 56 различни APK датотеки кои се претставувале како мобилни апликации на банки, главно од Италија и Шпанија, меѓу кои:

• Intesa Carte.apk
• Sella Carte.apk
• Banca Sella Carte.apk
• Nexi Carte.apk
• Fideuram Carte.apk
• Mooney Carte.apk
• CaixaBank.apk
• CaixaBankNfc.apk
• CaixaReactivaTarjeta.apk

Во јануари, D3Lab објави дека малверот ја таргетирал само Deutsche Bank во Германија, што може да укажува дека напаѓачите значително го прошириле опсегот на своите цели.

Нова техника за отежнување на анализата

Еден од поинтересните аспекти на новата верзија на малверот е воведувањето на намерно оштетено (malformed) APK пакување со цел да се отежни автоматската анализа и потенцијално да се заобиколат одредени безбедносни алатки.

Иако APK датотеката и понатаму претставува ZIP архива, поновите примероци содржат манипулирани или некоректни патеки до датотеки во архивата. Поради тоа, некои алатки за распакување погрешно ги толкуваат внатрешните релативни патеки како вистински патеки на датотечниот систем, што предизвикува грешки при обработката.

Сепак, според D3Lab, овој трик не ја спречува рачната анализа ниту обновувањето на кодот. Наместо тоа, неговата цел е да ги наруши или забави процесите на статичка анализа кај одредени безбедносни алатки.

Препораки за Android корисниците

На Android корисниците им се препорачува:

• Да инсталираат банкарски апликации исклучиво од Google Play.
• Да ја овозможат функцијата Play Protect.
• Да бидат особено внимателни со барања за „верификација“ кои бараат прислонување на платежна картичка до NFC читачот на телефонот.
• Да не инсталираат APK датотеки преземени од линкови добиени преку SMS пораки, е-пошта или сомнителни веб-страници.
• Да контактираат директно со својата банка доколку добијат барање за ажурирање на апликацијата преку неофицијални канали.

Банките речиси никогаш не бараат од клиентите да ја скенираат својата платежна картичка преку NFC како дел од процес на верификација или безбедносна проверка.

Извори:

• Bleeping Computer – NFCShare Android malware spreads via fake banking app updates on GitHub Bleeping Computer