56 suklastotos banko programėlės per du mėnesius: kaip NFCShare vagia korteles per jūsų telefoną

Jei jums paskambina iš „banko" ir paprašo patvirtinti kortelę priglaudus ją prie telefono — padėkite ragelį. Būtent tą akimirką jūsų mokėjimo kortelės duomenys keliauja į užpuoliko serverį, o jūs manote, kad tiesiog atliekate saugumo patikrą.

Tai NFCShare — „Android" kenkėjiška programa, kuri nuo gegužės vidurio plinta per suklastotas banko programėlių naujinimo nuorodas, patalpintas „GitHub" platformoje. Tyrėjų duomenimis, per mažiau nei du mėnesius į tą pačią „GitHub" saugyklą buvo įkelta 56 skirtingos kenkėjiškos APK bylos, apsimetančios Italijos, Ispanijos ir Vokietijos bankų mobiliosiomis programėlėmis.

Veikimo schema paprasta ir efektyvi. Auka pirmiausia patenka į suklastotą banko svetainę, kurioje prašoma įvesti prisijungimo duomenis. Tada pasirodo raginimas „atnaujinti" banko programėlę ir nuoroda veda į „GitHub" — o tai skamba pakankamai techniškai, kad neatrodytų įtartinai.

Įdiegus kenkėjišką APK, ekrane rodomas netikras patvirtinimo langas su prašymu priglausti banko kortelę prie telefono — tariamai saugumo sumetimais. Telefonui esant arti, NFCShare per „Android" IsoDep sąsają nuskaito kortelės numerį, tipą, galiojimo datą ir keturių skaitmenų PIN kodą, kurį pati auka įveda manydama, kad atlieka bankinį patvirtinimą. Visa informacija iš karto siunčiama į užpuoliko serverį per „WebSocket" kanalą.

Italijos kibernetinio saugumo bendrovės D3Lab tyrėjai NFCShare pirmą kartą užfiksavo dar 2026 metų sausį, kai kenkėjiška programa taikėsi tik į Vokietijos „Deutsche Bank" klientus. Dabar taikymosi geografija pastebimai išsiplėtė — nuo Italijos ir Ispanijos bankų iki platesnio Europos finansų sektoriaus. Tyrėjas Andrea Draghetti pažymi, kad nors NFCShare primena kitas NFC vagystėms skirtas priemones — NGate, SuperCard X ar RelayNFC — ji naudoja visiškai atskirą kodą, architektūrą ir bibliotekas. Vis dėlto neatmetama, kad tai gali būti ta pati ekosistema su tais pačiais užpuolikais.

Naujausiose versijose atsirado ir gudrybė, apsunkinanti automatizuotą analizę — APK failai supakuoti su sugadintais vidiniais failų keliais, dėl kurių kai kurie analizės įrankiai klaidingai interpretuoja archyvo struktūrą. Tačiau rankinės analizės tai nesustabdo.

Vienintelė patikima apsauga šiuo metu yra elementari: banko programėles diegti tik iš „Google Play", įjungti „Play Protect" funkciją ir būti itin įtariems, kai kas nors prašo priglausti mokėjimo kortelę prie telefono — bankai to niekada nedaro.