Novas variantes do malware Android NFCShare estão sendo distribuídas como falsas atualizações de aplicativos bancários legítimos hospedados no GitHub.
O malware evoluiu e agora mira clientes de vários bancos e instituições financeiras em toda a Europa, em uma campanha de phishing voltada ao roubo de dados de cartões de pagamento.
Depois de enganar as vítimas com uma tela falsa de verificação para aproximar os cartões do chip de comunicação por campo de proximidade, o NFCShare lê as informações usando a interface IsoDep do Android e comandos EMV.
O malware rouba o número do cartão, o tipo, a data de validade e um PIN de quatro dígitos digitado pela vítima sob o pretexto de uma etapa de segurança.
Em seguida, envia esses dados ao host de command and control (C2) do atacante por meio de um canal WebSocket.
As informações coletadas dessa forma podem ser usadas em esquemas de retransmissão de pagamentos por NFC, como documentado nos ataques de malware NGate, SuperCard X e RelayNFC.
O NFCShare foi documentado pela primeira vez pelos pesquisadores da D3Lab em janeiro de 2026, que vêm acompanhando sua atividade e evolução.
O pesquisador da D3Lab Andrea Draghetti afirmou que, apesar das semelhanças com outros malwares Android que exploram chips NFC para roubo de dados, o NFCShare usa código, bibliotecas, arquitetura e detalhes de implementação distintos.
Draghetti observou, porém, que ele ainda pode ser uma evolução do mesmo ecossistema, conduzida pelos mesmos threat actors.
Os ataques mais recentes do NFCShare, observados a partir de 14 de maio, começam com a vítima acessando um site de phishing que imita um banco real e solicita credenciais bancárias.
Em seguida, a vítima é orientada a atualizar o aplicativo bancário e redirecionada para um repositório no GitHub que hospeda um arquivo APK malicioso.
Os pesquisadores observam que mensagens de SMS ou ligações telefônicas de falsos representantes do banco também podem ser usadas como parte do processo de engenharia social, como visto em ataques semelhantes, embora a D3Lab não tenha observado esses métodos diretamente.
Desde sua criação em 10 de abril, o repositório no GitHub usado para distribuir o NFCShare hospedou 56 APKs únicos que imitavam aplicativos móveis de bancos, principalmente da Itália e da Espanha:
Intesa Carte.apk
Sella Carte.apk
Banca Sella Carte.apk
Nexi Carte.apk
Fideuram Carte.apk
Mooney Carte.apk
CaixaBank.apk
CaixaBankNfc.apk
CaixaReactivaTarjeta.apk
Em janeiro, a D3Lab informou que o malware mirava apenas o Deutsche Bank, na Alemanha, o que pode indicar uma ampliação do escopo de alvos.
Um aspecto interessante da nova versão do malware é a introdução de um empacotamento de APK com estrutura incorreta para dificultar a análise automatizada e, potencialmente, também ferramentas de segurança.
O APK continua sendo um arquivo ZIP, mas as amostras mais recentes incluem caminhos de arquivo corrompidos ou malformados dentro desse ZIP, fazendo com que algumas ferramentas de extração interpretem incorretamente caminhos relativos internos como caminhos do sistema de arquivos e gerem erros.
Ainda assim, a D3Lab observa que essa técnica não impede a análise manual nem a recuperação do código; ela apenas atrapalha a análise estática em determinadas ferramentas.
Usuários de Android são orientados a baixar aplicativos bancários apenas pela Google Play, ativar o Play Protect e desconfiar de “solicitações de verificação” que peçam a leitura de cartões por NFC.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...