Des versions nouvelles du malware NFCShare sont diffusées sous la forme de mises à jour falsifiées pour des applications bancaires légitimes, qui sont hébergées sur GitHub.
Ce malware a évolué et vise maintenant les clients de plusieurs banques et institutions financières en Europe dans une campagne de phishing qui a pour but de voler les données de cartes de paiement.
Le malware trompe les victimes avec un faux écran de vérification qui demande de placer la carte près du module de communication en champ proche, le NFC, du téléphone. NFCShare lit ensuite les informations en utilisant l’interface IsoDep de Android et les commandes EMV.
Le malware vole le numéro de la carte, son type, la date d’expiration, ainsi qu’un code PIN à quatre chiffres que la victime saisit, car elle croit que c’est une étape de sécurité. Ces données sont ensuite envoyées vers un serveur de commande et contrôle, le C2, de l’attaquant, via une connexion WebSocket.
Les informations récupérées de cette manière peuvent ensuite être utilisées dans des schémas de relais de paiement NFC, comme cela a été documenté dans les attaques des malwares NGate, SuperCard X et RelayNFC.
Source: D3Lab
NFCShare a été documenté pour la première fois par les chercheurs de D3Lab en janvier 2026, qui suivent son activité et son évolution.
Un chercheur de D3Lab, Andrea Draghetti, a expliqué que, malgré des similitudes avec d’autres malwares Android qui exploitent les modules NFC pour voler des données, NFCShare utilise un code, des bibliothèques, une architecture et des détails d’implémentation qui sont distincts.
Draghetti a cependant noté que ce malware pourrait encore représenter une évolution du même écosystème, qui est piloté par les mêmes acteurs malveillants.
Les attaques récentes de NFCShare, observées depuis le 14 mai, débutent lorsque la victime visite un site de phishing qui usurpe l’identité d’une banque réelle et demande des identifiants bancaires.
Les victimes sont ensuite incitées à mettre à jour leur application bancaire et sont redirigées vers un dépôt sur GitHub qui héberge un fichier APK malveillant.
Source: D3Lab
Les chercheurs indiquent que des messages SMS ou des appels téléphoniques de faux représentants bancaires peuvent également être utilisés dans le processus d’ingénierie sociale, comme cela a été vu dans des attaques similaires. Cependant, les chercheurs de D3Lab n’ont pas observé directement ces méthodes.
Depuis sa création le 10 avril, le dépôt GitHub utilisé pour distribuer NFCShare a hébergé 56 APK différents qui usurpent l’identité d’applications mobiles de banques, principalement en Italie et en Espagne.
- Intesa Carte.apk
- Sella Carte.apk
- Banca Sella Carte.apk
- Nexi Carte.apk
- Fideuram Carte.apk
- Mooney Carte.apk
- CaixaBank.apk
- CaixaBankNfc.apk
- CaixaReactivaTarjeta.apk
En janvier, D3Lab avait rapporté que le malware visait uniquement Deutsche Bank en Allemagne, ce qui pourrait indiquer un périmètre de ciblage qui s’est élargi.
Un aspect intéressant de la nouvelle version du malware est l’introduction d’un packaging APK malformé pour freiner l’analyse automatique et potentiellement aussi les outils de sécurité.
L’APK reste une archive ZIP, mais les nouveaux exemples incluent des chemins de fichiers « empoisonnés » ou malformés dans cette archive. Cela provoque une mauvaise interprétation par certains outils d’extraction, qui considèrent des chemins relatifs internes comme des chemins du système de fichiers et génèrent des erreurs.
D3Lab note cependant que cette astuce n’empêche pas l’analyse manuelle ou la récupération du code. Elle perturbe plutôt l’analyse statique dans certains outils.
Les utilisateurs Android sont conseillés de télécharger leurs applications bancaires uniquement sur Google Play, d’activer Play Protect et d’être vigilants face aux « demandes de vérification » qui exigent un scan NFC de la carte.