I ricercatori italiani di D3Lab ha scoperto una nuova variante di NFCShare, malware bancario per Android che consente di clonare una carta di pagamento sfruttando il chip NFC degli smartphone. L’aggiornamento permette di colpire un numero maggiore di utenti e utilizza GitHub per la distribuzione delle app fasulle.
Descrizione di NFCShare
Esistono diversi malware con simili funzionalità, tra cui NGate, Ghost Tap e SuperCard X. NFCShare era stato scoperto a fine gennaio. La prima versione prendeva di mira gli utenti italiani di Deutsche Bank.
Attraverso un sito di phishing con design simile a quello legittimo veniva chiesto di scaricare un aggiornamento dell’app Android e “verificare” la carta di pagamento. L’ignara vittima deve avvicinare la carta allo smartphone per la lettura tramite chip NFC e inserire il PIN.
La nuova variante estende l’attacco ad un numero maggiore di banche, tra cui Banca Intesa, Banca Sella e Fideuram. Anche stavolta sono stati creati siti di phishing. In alcuni casi, i cybercriminali inviano un SMS con il link o telefonano direttamente alle vittime spacciandosi per un dipendente della banca. La principale differenza è rappresentata dalla fonte dei file APK. Ora sono ospitati su GitHub.
Nel repository ci sono 56 pacchetti APK di presunte app di banche italiane e spagnole. Per ostacolare l’analisi del codice sono stati alterati i percorsi dei file nell’archivio ZIP (un pacchetto APK è un archivio ZIP), quindi l’estrazione fallisce (viene mostrato un messaggio di errore).
L’analisi manuale (ancora possibile) ha permesso di confermare le stesse funzionalità della versione originaria. NFCShare legge tutti i dati della carta (numero, tipo, data di scadenza, PIN) tramite chip NFC e li invia al server C2 (command and control). Gli utenti devono scaricare le app bancarie solo dal Google Play Store, senza seguire le indicazioni di siti fasulli (basta leggere l’URL).
Ti potrebbe interessare
14 giu 2026