Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant NFCShare pour Android

Logiciel malveillant NFCShare pour Android

Par Mezo en Logiciels malveillants mobiles
Se traduisent par :

Des chercheurs en cybersécurité ont identifié de nouvelles variantes du logiciel malveillant Android NFCShare, diffusées via de fausses mises à jour d'applications bancaires légitimes hébergées sur GitHub. Cette menace a considérablement évolué par rapport à ses versions précédentes et cible désormais les clients de nombreuses banques et institutions financières en Europe grâce à des opérations d'hameçonnage sophistiquées visant à dérober les informations de cartes de paiement.

Comment NFCShare vole les données sensibles des cartes bancaires

L'attaque repose sur des techniques d'ingénierie sociale qui incitent les victimes à interagir avec un processus de vérification frauduleux. Les utilisateurs sont invités à approcher leur carte bancaire de la puce NFC (communication en champ proche) de leur appareil mobile, permettant ainsi au logiciel malveillant d'accéder aux données de la carte via l'interface IsoDep d'Android et les commandes EMV.

Une fois activé, NFCShare collecte des informations cruciales, notamment :

  • numéro de carte de paiement
  • Type de carte
  • Date d'expiration
  • Code PIN à quatre chiffres saisi par la victime dans le cadre d'une fausse procédure de vérification de sécurité

Les informations volées sont ensuite transmises à l'infrastructure de commande et de contrôle (C2) des attaquants via un canal de communication WebSocket. Ces données peuvent ensuite être exploitées dans des attaques de relais de paiement NFC similaires à celles précédemment associées aux campagnes de logiciels malveillants NGate, SuperCard X et RelayNFC.

Une menace évolutive aux caractéristiques distinctes

NFCShare a été initialement documenté par des chercheurs en sécurité en janvier 2026, et une surveillance continue a révélé un développement et un perfectionnement constants de ce logiciel malveillant. Bien que cette menace présente des similitudes comportementales avec d'autres familles de logiciels malveillants Android exploitant la technologie NFC, les chercheurs ont identifié des différences notables dans son code source, ses bibliothèques, son architecture et ses méthodes d'implémentation.

Malgré ces distinctions, les experts estiment que NFCShare pourrait tout de même représenter une évolution du même écosystème cybercriminel plus vaste et pourrait être géré par les mêmes acteurs malveillants responsables de campagnes similaires.

La chaîne d’attaque commence par des pages d’hameçonnage bancaires.

Les attaques récentes observées depuis le 14 mai suivent un schéma d'infection soigneusement élaboré. Les victimes sont d'abord redirigées vers des sites web d'hameçonnage imitant des portails bancaires légitimes et leur demandant leurs identifiants de banque en ligne. Après avoir fourni ces informations, elles sont incitées à installer ce qui semble être une mise à jour obligatoire d'une application bancaire.

Les victimes sont ensuite redirigées vers un dépôt GitHub hébergeant des fichiers APK Android malveillants. Les chercheurs notent également que des SMS et des appels téléphoniques provenant de personnes se faisant passer pour des représentants de banque pourraient être intégrés au processus d'ingénierie sociale, bien que ces techniques n'aient pas encore été directement observées dans les campagnes NFCShare.

Un dépôt GitHub héberge des dizaines de fausses applications bancaires

Le dépôt GitHub utilisé pour diffuser le logiciel malveillant a été créé le 10 avril et hébergeait déjà 56 fichiers APK malveillants uniques imitant des applications bancaires, ciblant principalement des clients en Italie et en Espagne. En voici quelques exemples :

  • Carte Intesa, Carte Sella, Carte Banca Sella, Carte Nexi, Carte Fideuram et Carte Mooney
  • CaixaBank, CaixaBankNfc et CaixaReactivaTarjeta

Des chercheurs avaient précédemment signalé que NFCShare ciblait uniquement les clients de la Deutsche Bank en Allemagne en janvier 2026. Les dernières découvertes suggèrent que les opérateurs du logiciel malveillant ont considérablement étendu leur champ d'action à travers l'Europe.

Techniques d’obscurcissement conçues pour compliquer l’analyse

L'une des améliorations les plus notables des dernières variantes de NFCShare est l'utilisation de techniques d'empaquetage APK malformées destinées à perturber l'analyse automatisée des logiciels malveillants et à potentiellement interférer avec certains outils de sécurité.

Bien que les fichiers APK restent des archives ZIP standard, les nouveaux échantillons contiennent des chemins d'accès intentionnellement altérés. Ces chemins modifiés peuvent amener certains outils d'extraction à interpréter incorrectement les chemins relatifs internes comme des emplacements réels du système de fichiers, ce qui provoque des erreurs de traitement et des échecs d'analyse.

Toutefois, cette technique n'empêche ni l'investigation manuelle ni la récupération du code. Elle a surtout pour effet de complexifier les flux de travail d'analyse statique et d'entraver les mécanismes de détection automatisés.

Protection contre les infections NFCShare

Les experts en sécurité conseillent aux utilisateurs d'Android de télécharger les applications bancaires exclusivement depuis des sources fiables et reconnues, telles que les boutiques d'applications officielles ou les sites web bancaires vérifiés. Ils doivent également faire preuve de prudence face à des procédures de vérification inattendues, notamment celles exigeant la numérisation de cartes NFC ou d'autres contrôles de sécurité inhabituels, car il peut s'agir d'une tentative de vol d'informations financières sensibles.

Tendance

Arnaque par e-mail : devis et détails techniques

Hameçonnage, Courrier indésirable
Les cybercriminels perfectionnent sans cesse leurs techniques pour rendre les courriels frauduleux plus crédibles. C'est pourquoi la vigilance est essentielle dès qu'un message inattendu arrive dans votre boîte de réception. Même les courriels d'apparence professionnelle et commerciale peuvent être des arnaques soigneusement élaborées pour dérober des informations sensibles. La campagne de...

Le plus regardé

Chargement...