Varian baru malware Android NFCShare didistribusikan sebagai pembaruan palsu untuk aplikasi perbankan sah yang dihosting di GitHub.
Malware tersebut telah berevolusi dan kini menargetkan pelanggan dari berbagai bank dan lembaga keuangan di seluruh Eropa dalam kampanye phishing yang bertujuan mencuri data kartu pembayaran.
Setelah mengelabui korban dengan layar verifikasi palsu untuk meletakkan kartu di dekat chip komunikasi jarak dekat (NFC) perangkat seluler, NFCShare membaca informasi menggunakan antarmuka IsoDep Android dan perintah EMV.
Malware mencuri nomor kartu, jenis, tanggal kedaluwarsa, dan PIN 4 digit yang dimasukkan oleh korban dengan dalih langkah keamanan, dan mengekstraknya ke host perintah-dan-kontrol (C2) penyerang melalui saluran WebSocket.
Informasi yang dikumpulkan dengan cara ini kemudian dapat digunakan Skema relai pembayaran NFCseperti yang didokumentasikan dalam Gerbang NG, Kartu Super Xdan serangan malware RelayNFC.
Sumber: D3Lab
NFCShare pertama kali didokumentasikan oleh peneliti D3Lab pada Januari 2026, yang telah melacak aktivitas dan evolusinya.
Peneliti D3Lab Andrea Draghetti mengatakan kepada BleepingComputer bahwa, meskipun mirip dengan malware Android lainnya yang mengeksploitasi chip NFC untuk pencurian data, NFCShare menggunakan kode, perpustakaan, arsitektur, dan detail implementasi yang berbeda.
Namun Draghetti mencatat bahwa hal ini mungkin merupakan evolusi dari ekosistem yang sama, yang didorong oleh pelaku ancaman yang sama.
Serangan NFCShare baru-baru ini yang diamati mulai 14 Mei dimulai dengan korban mengunjungi situs phishing yang menyamar sebagai bank asli dan meminta kredensial perbankan.
Korban kemudian didesak untuk memperbarui aplikasi perbankan mereka dan diarahkan ke repositori GitHub yang menampung file APK berbahaya.
Sumber: D3Lab
Para peneliti mencatat bahwa pesan SMS atau panggilan telepon dari perwakilan bank palsu juga dapat digunakan sebagai bagian dari proses rekayasa sosial, seperti yang terlihat dalam serangan serupa, meskipun peneliti D3Lab tidak mengamati metode ini secara langsung.
Sejak dibuat pada tanggal 10 April, repositori GitHub yang digunakan untuk mendistribusikan NFCShare telah menampung 56 APK unik yang meniru aplikasi seluler untuk bank-bank terutama dari Italia dan Spanyol:
- Intesa Carte.apk
- Seal Carte.apk
- Banca Sella Carte.apk
- Nexi Carte.apk
- Fideuram Carte.apk
- Mooney Carte.apk
- CaixaBank.apk
- CaixaBankNfc.apk
- CaixaReactivaTarjeta.apk
Pada bulan Januari, D3Lab melaporkan malware tersebut hanya menargetkan Deutsche Bank di Jerman, yang mungkin menunjukkan cakupan penargetan yang lebih luas.
Salah satu aspek menarik dari versi baru malware ini adalah diperkenalkannya kemasan APK yang formatnya salah untuk menghambat analisis otomatis, dan mungkin juga alat keamanan.
APK masih berupa arsip ZIP, namun sampel yang lebih baru menyertakan jalur file yang beracun/rusak dalam ZIP tersebut, sehingga menyebabkan beberapa alat ekstraksi salah mengartikan jalur relatif internal sebagai jalur sistem file dan memicu kesalahan.
Namun, D3Lab mencatat bahwa trik ini tidak mencegah analisis manual atau pemulihan kode; sebaliknya, ini mengganggu analisis statis pada alat tertentu.
Pengguna Android disarankan untuk mengambil aplikasi perbankan hanya dari Google Play, mengaktifkan Play Protect, dan berhati-hati terhadap “permintaan verifikasi” yang meminta pemindaian kartu NFC.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
