Μια ανησυχητική εξέλιξη στην ψηφιακή ασφάλεια έχει προκύψει με την εξάπλωση μιας νέας παραλλαγής του κακόβουλου λογισμικού NFCShare, η οποία προσποιείται ότι είναι ενημερώσεις νόμιμων τραπεζικών εφαρμογών στο GitHub. Αυτή η υποκλοπή έχει προκαλέσει ανησυχία στους χρήστες στην Ελλάδα και στο εξωτερικό, καθώς αυξάνει τους κινδύνους για κλοπή ευαίσθητων δεδομένων.
Το NFCShare έχει εξελιχθεί, στοχεύοντας πελάτες διαφόρων τραπεζών και χρηματοπιστωτικών ιδρυμάτων σε όλη την Ευρώπη, μέσω καμπανιών phishing που επιδιώκουν να αποκτήσουν πρόσβαση στα στοιχεία των πιστωτικών καρτών τους.
Η μέθοδος λειτουργίας είναι απλή αλλά επικίνδυνη: τα θύματα εμφανίζονται προτροπές για την επαλήθευση της κάρτας τους κοντά στο τσιπ επικοινωνίας κοντινού πεδίου (NFC) της κινητής τους συσκευής. Το τροποποιημένο λογισμικό διαβάζει τις ευαίσθητες πληροφορίες χρησιμοποιώντας τις εντολές EMV και τις λειτουργίες IsoDep του Android.
Εν συνεχεία, το λογισμικό κλέβει πληροφορίες όπως τον αριθμό της κάρτας, την ημερομηνία λήξης και ένα 4ψήφιο PIN που εισάγει το θύμα, υποδυόμενο έναν «έλεγχο ασφαλείας». Αυτά τα δεδομένα διαβιβάζονται στον κεντρικό υπολογιστή του επιτιθέμενου μέσω ενός καναλιού WebSocket.
Οι πληροφορίες που συλλέγονται μπορούν να χρησιμοποιηθούν σε συστήματα αναμετάδοσης NFC, γεγονός που θυμίζει προηγούμενες επιθέσεις με κακόβουλο λογισμικό, όπως τα NGate και SuperCard X.
Πηγή: D3Lab
Το NFCShare αναγνωρίστηκε για πρώτη φορά από τους ερευνητές του D3Lab τον Ιανουάριο του 2026, και από τότε παρακολουθείται η δραστηριότητά του. Ο Andrea Draghetti, ερευνητής στο D3Lab, τόνισε ότι, παρόλο που υπάρχουν ομοιότητες με άλλες κακόβουλες εφαρμογές Android, οι κωδικοί, οι βιβλιοθήκες και η αρχιτεκτονική του NFCShare διαφέρουν.
Ωστόσο, είναι πιθανό να εντάσσεται σε ένα ευρύτερο οικοσύστημα επιθέσεων που καθοδηγούνται από παρόμοιους παράγοντες κινδύνου.
Από τις 14 Μαΐου, οι επιθέσεις NFCShare εκκινούν με το θύμα να εισέρχεται σε έναν ιστότοπο phishing, που υποδύεται μια αληθινή τράπεζα, ζητώντας τις τραπεζικές του πληροφορίες. Ακολουθεί η ανακατεύθυνση για την “αναβάθμιση” της εφαρμογής σε μια ψευδή σελίδα του GitHub, όπου είναι διαθέσιμο το κακόβουλο APK.
Πηγή: D3Lab
Επιπλέον, οι ερευνητές σημειώνουν ότι ψεύτικα SMS ή τηλεφωνήματα από δήθεν τραπεζικούς εκπροσώπους μπορεί να χρησιμοποιηθούν για αύξηση της πειθούς κατά την παραπλάνηση των θυμάτων, αν και οι ερευνητές του D3Lab δεν έχουν καταγράψει αυτές τις πρακτικές άμεσα.
Από την έναρξή του στις 10 Απριλίου, το κακόβουλο αποθετήριο GitHub περιλαμβάνει 56 μοναδικά APK που προσποιούνται τις εφαρμογές κινητού από τράπεζες, κυρίως από την Ιταλία και την Ισπανία:
- Intesa Carte.apk
- Sella Carte.apk
- Banca Sella Carte.apk
- Nexi Carte.apk
- Fideuram Carte.apk
- Mooney Carte.apk
- CaixaBank.apk
- CaixaBankNfc.apk
- CaixaReactivaTarjeta.apk
Παλαιότερα, το D3Lab είχε αναφέρει ότι το NFCShare στοχεύει κυρίως την Deutsche Bank στην Γερμανία, γεγονός που μπορεί να υποδηλώνει μια μεγαλύτερη κλίμακα επίθεσης.
Μια ενδιαφέρουσα προσθήκη είναι η χρήση λανθασμένου packaging APK για την αποφυγή αυτόματων αναλύσεων και εργαλείων ασφαλείας. Παρόλο που το APK παραμένει αρχείο ZIP, οι νεότερες εκδόσεις περιλαμβάνουν κακόβουλες διαδρομές αρχείων, που δημιουργούν σύγχυση στα εργαλεία ανάλυσης.
Ωστόσο, οι ερευνητές υπογραμμίζουν ότι αυτή η μέθοδος δεν αποκλείει τη μη αυτόματη ανάλυση ή την ανάκτηση του κώδικα, αλλά παρακωλύει τη στατική ανάλυση σε ορισμένα εργαλεία ασφαλείας.
Προτείνεται στους χρήστες Android να κατεβάζουν εφαρμογές μόνο μέσω του Google Play, να ενεργοποιούν τη δυνατότητα Play Protect και να είναι προσεκτικοί με τις “αιτήσεις επαλήθευσης” όταν καλούνται να σαρώσουν κάρτες NFC.
Οι ομάδες υποστήριξης ασφαλείας καταγράφουν το 54% των επιτυχημένων επιθέσεων και ειδοποιούν μόλις το 14%. Οι περισσότερες επιθέσεις πραγματοποιούνται στο παρασκήνιο.
Η λευκή βίβλος της Picus εξηγεί πώς η προσομοίωση επιθέσεων μπορεί να βοηθήσει στην ανίχνευση απειλών.
