NFCShare Android malware spreads via fake banking app updates on GitHub

Menace NFCShare : Vol de données bancaires via NFC sur Android

Le malware Android NFCShare évolue et cible désormais plusieurs institutions financières européennes. Distribué via de fausses mises à jour d’applications bancaires hébergées sur GitHub, ce logiciel malveillant utilise les capacités NFC des smartphones pour subtiliser des données de paiement.

Points clés :

• Mode opératoire : Les victimes sont redirigées vers des dépôts GitHub malveillants après avoir consulté des sites de phishing. Une fois installé, le malware incite l’utilisateur à placer sa carte bancaire contre le téléphone sous prétexte d’une étape de vérification de sécurité.
• Technique de vol : L’application utilise l’interface IsoDep et les commandes EMV pour lire le numéro de carte, sa date d’expiration et le code PIN, puis exfiltre ces données via un canal WebSocket vers un serveur C2.
• Évolution : Le malware utilise désormais des paquets APK volontairement corrompus pour contourner certains outils d’analyse statique automatisés.
• Ciblage : Initialement concentré sur l’Allemagne, le malware s’est étendu aux banques italiennes et espagnoles.

Vulnérabilités :

• Aucune CVE spécifique n’est associée, le malware exploite les fonctionnalités légitimes de communication NFC d’Android couplées à des techniques d’ingénierie sociale.

Recommandations :

• Sources officielles uniquement : Téléchargez exclusivement vos applications bancaires depuis le Google Play Store.
• Protection active : Maintenez “Google Play Protect” activé sur vos appareils Android.
• Vigilance accrue : Ne scannez jamais votre carte bancaire avec votre smartphone à la demande d’une application ou d’un site web, sauf dans le cadre d’opérations de paiement légitimes validées par votre banque.
• Méfiance : Ignorez toute incitation à télécharger des mises à jour d’applications provenant de liens GitHub, d’SMS ou d’appels téléphoniques suspects.

Source