Новая волна Android-трояна NFCShare: поддельные банковские приложения выманивают данные карт через NFC и PIN

remote access Trojan

Мобильные финансовые угрозы продолжают усложняться. Примером служит эволюция трояна NFCShare, который ранее нацеливался на клиентов Deutsche Bank, а теперь расширил географию на итальянские и европейские банки. Вредоносная программа похищает данные платёжных карт через NFC-считыватель и мошеннически собирает PIN-код жертвы. Новая волна атак отличается усилением защиты от анализа, что затрудняет работу автоматических детекторов.

Описание

В январе 2026 года исследователи зафиксировали первую версию NFCShare, замаскированную под обновление банковского приложения. Тогда троян распространялся через фишинговую страницу, имитирующую Deutsche Bank. Пользователю предлагали приложить карту к смартфону якобы для верификации, а затем ввести PIN. Теперь же атакующие переключились на итальянские бренды.

С 14 мая 2026 года в сети появились новые образцы NFCShare. Фишинговая кампания начинается с поддельного сайта areaclienti-intesa.com, копирующего дизайн портала Intesa Sanpaolo. После ввода учётных данных для входа в домашний банкинг жертву просят обновить банковское приложение. Сайт перенаправляет пользователя на сокращённую ссылку (например, https://tinyurl[.]com/Intesa-Carte), ведущую на вредоносный APK, размещённый в репозитории GitHub antoniocastaldo1998/app-scuola. Судя по истории коммитов, злоумышленники активно обновляли файлы: с 10 апреля по 5 июня в репозитории появилось 56 уникальных вредоносных сборок.

Имена APK соответствуют банкам: Intesa Carte.apk, Sella Carte.apk, Banca Sella Carte.apk, Klirway Carte.apk, BCC Roma Carte.apk, Fideuram Carte.apk, Mooney Carte.apk, Nexi Carte.apk, а также испанские CaixaBank.apk и CaixaBankNfc.apk. Каждая версия рассчитана на конкретную кредитную организацию.

Важно отметить, что репозиторий замаскирован под школьный проект с безобидным описанием "app-scuola" (школьное приложение) и коротким README. Аналитики выяснили, что злоумышленники также могли использовать дополнительные социальные атаки: от имени банковского оператора они звонили или писали жертве, инструктируя, как включить установку из неизвестных источников и вручную загрузить APK.

Основная функциональность трояна не изменилась. После установки программы она показывает в WebView поддельную форму верификации карты. Интерфейс на португальском языке просит пользователя поднести карту к задней панели устройства. Нативный код использует NFC-протокол IsoDep для отправки EMV-команды SELECT PPSE (00 A4 04 00 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 00). Считанные данные - номер карты, срок действия и тип - упаковываются в строку вида "номер_карты & тип_карты & метка & MM/yy". Затем программа просит ввести 4-значный PIN, который добавляется во второе поле и отправляется повторно. Вся информация уходит на командный сервер через протокол WebSocket.

Эволюция коснулась уровня защиты. В новых образцах количество DEX-файлов увеличилось с 8 до 10. Главное изменение - малформированные ZIP-пути внутри APK. Архив содержит около 159 записей с ошибочными абсолютными путями, например /AndroidManifest.xml/ или /classes.dex/. Простые распаковщики пытаются записать эти файлы в корневую директорию, что вызывает ошибку "Read-only file system". Это не мешает ручному анализу, но нарушает работу автоматических статических анализаторов и снижает точность классификаторов. Как следствие, семейная принадлежность может быть неверно определена.

Несмотря на нововведения, внутренние маркеры однозначно указывают на NFCShare. Пакет приложения com.modol.nap, главная активность nfc.share.itnamteis.MainActivity, энум MqttChannel с каналами CARD_INFO_CHANNEL, SEND_CHANNEL и другими, а также использование библиотеки NPStringFog с ключом itnewpag - всё это осталось неизменным. Командный сервер сменился: вместо ws://38.47.213[.]197:7068 теперь используется ws://nfck.loseyourip[.]com:8001.

Выводы специалистов однозначны: возможности вредоносной программы не претерпели кардинальных изменений. Главный прирост получила операционная устойчивость - частая смена брендов, постоянные пересборки APK, хостинг в открытом репозитории под видом учебного проекта и намеренное искажение структуры архива. Для защитников это означает, что полагаться на имена файлов или адреса C2 больше нельзя. Надёжными индикаторами остаются внутренний код, сочетание NFC-чтения с фишинговым WebView и характерное повреждение ZIP-структуры. Именно эти признаки помогут выявить даже свежие сборки опасного трояна.

Индикаторы компрометации

Domains

  • areaclienti-intesa.com

URLs

  • https://github.com/antoniocastaldo1998/app-scuola
  • https://tinyurl.com/Intesa-Carte

WebSocket

  • ws://38.47.213.197:7068/
  • ws://nfck.loseyourip.com:8001/

MD5

  • 10604243405e9480170dd68dab93b3e8
  • 156ac1f4f722b7a7135817b07b6367ac
  • 19e201749611c757b4605635e8521bba
  • 1a9936e788589c10643556c3b515c42a
  • 4050e40d3e4604f85ecab2389cae1827
  • 41ac1272a5b5971d9a52d55e2a4dd63d
  • 45ee3983a7c1133f267af09173668864
  • 4f71dc13d349971d76970bde1c6e3be5
  • 54b72c48e263a901674a5bcb15f4cbe3
  • 5b68cfe9515654c0d10c228de3abd5c2
  • 5ecd01356a39ecf540883ff8171b3677
  • 63ca247be35c8ef19308a36a5660b016
  • 63d6aaabe27edd5e60339da122d7d0cd
  • 8300753f9500ab04ad5bb9920f2d2053
  • 952d1908bfeb13b8b906c833fea1dea2
  • 9dec1a25c9e21e0202216e862e0c9e8b
  • 9ee21d157063fd9023a501ec7f551a56
  • a52d062e9d0115ce35c13de234e3e5d0
  • a6cc136bdda4a9ec69af6ed2ba969a85
  • b16928f4e8447778388e785f746434b3
  • c849829a852666680cd0de0c0ad1c300
  • ceeb164e387e2a6952dc023eb1cf416a
  • cfd294f31384685270ca8838aac22de9
  • d891da945d285b547642ec5e56ea8dd3
  • d9e524c5a75ad511b802f35488f6af5d
  • dcf340486b832f9092df105a865a186a
  • dea4c7344a8ab14de16a1018a6e5ccfd
  • dea7c27a5b42df8eeb86188345ab620c
  • ded72aeca28a3a63ca1fcb8517356896
  • e937ba13a70cf62da5c5a471df866f6b
  • f44469676097f336dbd587d895da7a61
  • fcfd090aa00fe9388da6d20cd2326058

SHA256

  • 000218ce36bc7e3b29318e70eb528cad547a837dca2fb955ae63e505825268de
  • 0024620136cf4239544da4768edf7ec7a398e3b610a471033511305ccf670c42
  • 090a30252991830596c75a945885ca3100d7a40edf4a16d78abd5bbfd90ba268
  • 091870b3f90c9a98000e0d14a67be2db5891ce98a0b1e24b721e3d96241620a5
  • 0cacde8ec59f47dc1bea893f713e922e04aa24c63e8ab0c123aeb0204b0283bb
  • 15f9d02fbb0124cdf283f7ed3e7f108ff10fe44f9bd8374f48b40a2ebb50168b
  • 20b5551b2158f599517f29316884b00e0af6ae3a3bd782909f4b36fca1595698
  • 21c91c4cb01c7fd286dc8fa6122f6c43a5227677ffbe3566aa37204cd9e494fe
  • 2a24223718cb12a8bd81679b307af73a6e062e6f1b26750546a576e285a379e7
  • 3c81526bcb801d7dcfaea7f379528471d745a36e3c1bdc41877b4bed34b5dce6
  • 4218216156a2f083c2e79e754d92904403e8e6f54fb91034b193458bbd48346a
  • 426ab891baf22d4a97f8c22a824f2271e8f11c3ac7532a4893e4b7f48767030f
  • 46e70cb7e3825ae9ea24187c7672e75e70d56bad55c3d143d10903242d59531b
  • 51f7b3f6991bc6253d33e6b93f4e0429957f3d54d967c461dbb82ea2a4694e12
  • 69b6c30e329273585cc1c7a11c411040f34094664c68e49b5542561367ce2368
  • 6d29e6e5372cd0690e0df62eb6d98938e91191b0e639fed2476497baa8255405
  • 73ec7502a638b4520fd8e7d204049f7d064938f58e11d2f27fbb74e61c788257
  • 752f3cacdad6753d4c02bb8e40ef3e0990b55466c18a7b80ec6fa7b9706e40ab
  • 7fb836c08ff527443b06d1c20afb6a4b0f51eb373013f211e0d3200bf26527b7
  • 86e9b74bb96db32c03f91f638521be550d5fec827fac6aed70795f576ed8dc45
  • 9628acabe739b5419f08c5a5c3cd776268bf4a3c25c978341e403bde442e0ece
  • 9e95912f1a5fdba5050723f095b7031770b7e2f9627fb60544b41adcbb5b3306
  • 9fa08e172f73daa3ec8c2fb607b8500bdf915dbf09fcde5a46381e042266149e
  • b0e288e8ac116bc1db13536dee2060f7ebdebc4524cba9147132ed633e028cee
  • b1bdd9549dffcff4fbad6d1c80d7ba513b0ed624e4c74a6df09756edc3882134
  • bfca31aafc6fe22f8fc4fa188a88570a70783877342a02362fd0867ba8f547bc
  • cb147e7ce69723523f604da875d78ca4738e5f416d2297910ee179a5067e79fe
  • ce462b41ab7480dce4f290a9921fca51ba40e502d480a348d50770607e3d02b9
  • d29295f1504676003fd3ccbd3e41a53aabbe80d2025bfb3a6ef9a9fcff97b6cd
  • d80ea77e9f0dbf75be823b631d3f5572ce484abf4542413482f03094a1c8aad0
  • f1f78e1ad582c9540205ba808836dcb967b7093190bf994632854269692aa2d2
  • f73ad6fad9cfa13deec3e729c99fb2aae33541a84c0e8f53846f9260a2f09252

Комментарии: 0