📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Novas variantes do malware NFCShare para Android estão sendo distribuídas como atualizações falsas para aplicativos bancários legítimos hospedados no GitHub.
O malware evoluiu e agora tem como alvo clientes de vários bancos e instituições financeiras em toda a Europa, numa campanha de phishing que visa roubar dados de cartões de pagamento.
Depois de enganar as vítimas com uma tela de verificação falsa para colocar os cartões próximos ao chip de comunicação de campo próximo (NFC) do dispositivo móvel, o NFCShare lê as informações usando a interface IsoDep do Android e comandos EMV.
O malware rouba o número do cartão, o tipo, a data de validade e um PIN de 4 dígitos inserido pela vítima sob o pretexto de uma etapa de segurança e os exfiltra para o host de comando e controle (C2) do invasor por meio de um canal WebSocket.
As informações coletadas dessa forma podem então ser usadas em esquemas de retransmissão de pagamento NFC, conforme documentado nos ataques de malware NGate, SuperCard X e RelayNFC.
Telas de engenharia social do NFCShareFonte: D3Lab
O NFCShare foi documentado pela primeira vez por pesquisadores do D3Lab em janeiro de 2026, que acompanham sua atividade e evolução.
A pesquisadora do D3Lab, Andrea Draghetti, disse ao BleepingComputer que, apesar das semelhanças com outros malwares Android que exploram chips NFC para roubo de dados, o NFCShare usa código, bibliotecas, arquitetura e detalhes de implementação distintos.
Draghetti observou, porém, que ainda poderia ser uma evolução do mesmo ecossistema, impulsionado pelos mesmos atores de ameaças.
Os recentes ataques NFCShare observados a partir de 14 de maio começam com a vítima visitando um site de phishing que se faz passar por um banco real e solicita credenciais bancárias.
As vítimas são então instadas a atualizar seu aplicativo bancário e são redirecionadas para um repositório GitHub que hospeda um arquivo APK malicioso.
Repositório GitHub maliciosoFonte: D3Lab
Os investigadores observam que mensagens SMS ou chamadas telefónicas de falsos representantes de bancos também podem ser utilizadas como parte do processo de engenharia social, como visto em ataques semelhantes, embora os investigadores do D3Lab não tenham observado estes métodos diretamente.
Desde a sua criação em 10 de abril, o repositório GitHub usado para distribuição do NFCShare hospedou 56 APKs exclusivos que representavam aplicativos móveis para bancos principalmente da Itália e da Espanha:
Intesa Carte.apk
Sella Carte.apk
Banca Sella Carte.apk
Nexi Carte.apk
Fideuram Carte.apk
Mooney Carte.apk
CaixaBank.apk
CaixaBankNfc.apk
CaixaReativaTarjeta.apk
Em janeiro, o D3Lab informou que o malware tinha como alvo apenas o Deutsche Bank na Alemanha, o que pode sugerir um escopo de segmentação estendido.
Um aspecto interessante da nova versão do malware é a introdução de pacotes APK malformados para impedir a análise automatizada e, potencialmente, também ferramentas de segurança.
O APK ainda é um arquivo ZIP, mas as amostras mais recentes incluem caminhos de arquivo envenenados/malformados dentro desse ZIP, fazendo com que algumas ferramentas de extração interpretem erroneamente caminhos relativos internos como caminhos do sistema de arquivos e acionem erros.
No entanto, o D3Lab observa que esse truque não impede a análise manual ou a recuperação de código; em vez disso, interrompe a análise estática em certas ferramentas.
Os usuários do Android são aconselhados a adquirir aplicativos bancários apenas no Google Play, ativar o Play Protect e ter cuidado com “solicitações de verificação” que solicitam verificações de cartões NFC.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
O malware evoluiu e agora tem como alvo clientes de vários bancos e instituições financeiras em toda a Europa, numa campanha de phishing que visa roubar dados de cartões de pagamento.
Depois de enganar as vítimas com uma tela de verificação falsa para colocar os cartões próximos ao chip de comunicação de campo próximo (NFC) do dispositivo móvel, o NFCShare lê as informações usando a interface IsoDep do Android e comandos EMV.
O malware rouba o número do cartão, o tipo, a data de validade e um PIN de 4 dígitos inserido pela vítima sob o pretexto de uma etapa de segurança e os exfiltra para o host de comando e controle (C2) do invasor por meio de um canal WebSocket.
As informações coletadas dessa forma podem então ser usadas em esquemas de retransmissão de pagamento NFC, conforme documentado nos ataques de malware NGate, SuperCard X e RelayNFC.
Telas de engenharia social do NFCShareFonte: D3Lab
O NFCShare foi documentado pela primeira vez por pesquisadores do D3Lab em janeiro de 2026, que acompanham sua atividade e evolução.
A pesquisadora do D3Lab, Andrea Draghetti, disse ao BleepingComputer que, apesar das semelhanças com outros malwares Android que exploram chips NFC para roubo de dados, o NFCShare usa código, bibliotecas, arquitetura e detalhes de implementação distintos.
Draghetti observou, porém, que ainda poderia ser uma evolução do mesmo ecossistema, impulsionado pelos mesmos atores de ameaças.
Os recentes ataques NFCShare observados a partir de 14 de maio começam com a vítima visitando um site de phishing que se faz passar por um banco real e solicita credenciais bancárias.
As vítimas são então instadas a atualizar seu aplicativo bancário e são redirecionadas para um repositório GitHub que hospeda um arquivo APK malicioso.
Repositório GitHub maliciosoFonte: D3Lab
Os investigadores observam que mensagens SMS ou chamadas telefónicas de falsos representantes de bancos também podem ser utilizadas como parte do processo de engenharia social, como visto em ataques semelhantes, embora os investigadores do D3Lab não tenham observado estes métodos diretamente.
Desde a sua criação em 10 de abril, o repositório GitHub usado para distribuição do NFCShare hospedou 56 APKs exclusivos que representavam aplicativos móveis para bancos principalmente da Itália e da Espanha:
Intesa Carte.apk
Sella Carte.apk
Banca Sella Carte.apk
Nexi Carte.apk
Fideuram Carte.apk
Mooney Carte.apk
CaixaBank.apk
CaixaBankNfc.apk
CaixaReativaTarjeta.apk
Em janeiro, o D3Lab informou que o malware tinha como alvo apenas o Deutsche Bank na Alemanha, o que pode sugerir um escopo de segmentação estendido.
Um aspecto interessante da nova versão do malware é a introdução de pacotes APK malformados para impedir a análise automatizada e, potencialmente, também ferramentas de segurança.
O APK ainda é um arquivo ZIP, mas as amostras mais recentes incluem caminhos de arquivo envenenados/malformados dentro desse ZIP, fazendo com que algumas ferramentas de extração interpretem erroneamente caminhos relativos internos como caminhos do sistema de arquivos e acionem erros.
No entanto, o D3Lab observa que esse truque não impede a análise manual ou a recuperação de código; em vez disso, interrompe a análise estática em certas ferramentas.
Os usuários do Android são aconselhados a adquirir aplicativos bancários apenas no Google Play, ativar o Play Protect e ter cuidado com “solicitações de verificação” que solicitam verificações de cartões NFC.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #o #malware #nfcshare #android #se #espalha #por #meio #de #atualizações #falsas #de #aplicativos #bancários #no #github
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário