2026 elejétől ismét aktívan terjed az NFCShare nevű Android-alapú banki trójai új kampánya. A kártevőt korábban egy, a Deutsche Bank nevével visszaélő adathalász kampány során azonosították, amelyben rosszindulatú APK-fájlokon keresztül terjesztették. A támadás során a kártevő egy hamis bankkártya-ellenőrző felületet jelenített meg, majd arra utasította a felhasználót, hogy helyezze a bankkártyáját a telefon közelébe. Ezzel párhuzamosan a rendszer megszerezte a PIN-kódot, valamint NFC-n keresztül kiolvasta a kártyaadatokat, amelyeket egy WebSocket-alapú command-and-control (C2) infrastruktúrába továbbított.

2026 májusától újabb kampányhullám figyelhető meg, amely már több európai bank arculatát is utánozza. A támadások kiindulópontja az areaclienti-intesa[.]com adathalász weboldal volt, amely az Intesa Sanpaolo internetbank felületét másolta le. A felhasználók a belépési adatok megadása után arról kaptak értesítést, hogy kötelező alkalmazásfrissítés szükséges. Ez a lépés elindította az átirányítást a GitHub-on tárolt rosszindulatú APK-fájlok felé, gyakran a TinyURL segítségével rövidített hivatkozásokon keresztül.

A kampány során számos bank nevét használó APK-t azonosítottak, többek között az Intesa Carte[.]apk, Sella Carte[.]apk, Banca Sella Carte[.]apk, Klirway Carte[.]apk, BCC Roma Carte[.]apk, Fideuram Carte[.]apk, Mooney Carte[.]apk, Nexi Carte[.]apk, CaixaBank[.]apk, CaixaBankNfc[.]apk és CaixaReactivaTarjeta[.]apk mintákat.

A fertőzési lánc a mobil eszközöket célzó adathalász kampányok mintázatát követi:

• a felhasználó hitelesíti magát, majd
• egy „frissítés” ürügyén telepít egy külső forrásból származó APK-t, amely
• megszerzi a támadáshoz szükséges rendszerjogosultságokat.

A támadási lánc egy social engineering technikára építő lépést is tartalmazhat. Az áldozatok SMS-t vagy telefonhívást is kaphatnak egy magát banki ügyintézőnek kiadó csalótól, aki végigvezeti őket a teljes folyamaton, beleértve az ismeretlen forrásból származó Android alkalmazások telepítésének engedélyezését is.

Technikai szempontból a legfontosabb változás nem a C2-infrastruktúra cseréje, hanem a csomagolási eljárás módosítása. Az APK-k hibás ZIP-bejegyzéseket tartalmaznak, például az /AndroidManifest[.]xml/ vagy a /classes[.]dex/ útvonalak megtévesztő struktúrába ágyazásával. Mivel az APK-fájlok valójában ZIP-archívumok, az egyszerűbb kibontóeszközök megpróbálhatják ezeket a fájlrendszer gyökerébe írni. Ez a megoldás nem akadályozza a manuális elemzést, ugyanakkor megzavarhatja az automatizált kibontó- és statikus kódelemző rendszereket, amelyek szabványos APK-felépítést feltételeznek.

Az NFC-modul az IsoDep interfészt használja, és az EMV PPSE Select APDU parancsokkal kommunikál a fizikai kártyával. Feldolgozza a választ, majd a kinyert adatokat strukturált objektumokba rendezi. A PIN-kód kezelése külön komponensben történik, és a kártyaadatokkal együtt egy egyszerű szerializált formában jut el a támadókhoz. A felhasználói felület továbbra is WebView-alapú megtévesztő ellenőrző oldal, amely a kártya „ellenőrzését” szimulálja, miközben a háttérben adatgyűjtés zajlik. A sablon portugál nyelven kéri a felhasználót, hogy helyezze a bankkártyáját a telefon közelébe, majd adja meg a négyjegyű PIN-kódot „biztonsági ellenőrzés” céljából (1-3. ábra).

Összességében az NFCShare új hulláma nem hozott érdemi változást a kártevő alapvető képességeiben. A fejlődés elsősorban a kampány üzemeltetésében, valamint az elemzést nehezítő technikákban figyelhető meg. A támadók folyamatosan váltogatják a megszemélyesített márkákat, rendszeresen újracsomagolják az APK-fájlokat, valamint URL-rövidítőket használnak. Emellett a payloadokat egy „iskolai projektnek” álcázott nyilvános GitHub-repositoryn hosztolják, továbbá hibás ZIP-struktúrákat alkalmaznak, amelyek megnehezítik az automatizált elemzőrendszerek működését. A detektálás szempontjából ezért a hangsúly egyre inkább a viselkedésalapú mintázatok felismerésére helyeződik, például az NFC-használatára, a WebView interakciókra és az APK- fájlstruktúra eltéréseire, nem pedig az egyes kampányokhoz kapcsolódó, folyamatosan változó domainekre vagy fájlnevekre.