正規のバンキングアプリに偽装してNFCカードデータを窃取する、Androidバンキング型トロイの木馬「NFCShare」の新たな攻撃波が確認されています。手口はより洗練され、運用面での改良が重ねられています。
2026年1月に初めて記録されたNFCShareは、引き続きソーシャルエンジニアリングによるフィッシング手法に依存しており、被害者に悪意のあるAPKをサイドロードさせます。2026年5月14日以降、このキャンペーンはイタリアおよびヨーロッパ全域の銀行ブランドへとターゲットを移行しており、自動解析を妨害するためにリビルド頻度の増加やパッケージング対策が強化されています。
攻撃の入り口となるのは、Intesa Sanpaoloを模倣した巧妙な銀行テーマのフィッシングサイトです。最近では areaclienti-intesa[.]com として確認されており、ホームバンキングの認証情報を要求したうえで、被害者にバンキングアプリの「アップデート」を促します。
被害者は短縮URL(例:https://tinyurl[.]com/Intesa-Carte)を経由して、app-scuolaという名前のGitHubリポジトリにホストされたAPKへリダイレクトされます。
このリポジトリは軽量な配布ハブとして機能しており、短いREADMEと小さなシェルスクリプトが頻繁なコミットと自動プッシュを支援しています。
D3 LabがGBhackersと共有したレポートによると、Deutsche Bankを装ったフィッシングフローを通じて悪意のあるAPKとして配布されるAndroidバンキング型トロイの木馬「NFCShare」の詳細な分析が実施されました。
Gitの履歴を分析すると、数十の個別APKブロブが確認されており、Intesa Carte.apk、Sella Carte.apk、CaixaBank.apk、Nexi Carte.apkといった囮ファイル名で急速にブランドを切り替えていることがわかります。
技術的な観点では、最近のサンプルはNFCShareのコア機能を維持しています。WebViewベースのローカルHTMLのUIで被害者にスマートフォンへ支払いカードをかざすよう誘導し、android.nfc.tech.IsoDep を使ったネイティブNFCリーダーコードでEMV APDU(PPSEセレクトを含む)を発行します。さらにEMVのパースによってカードPAN、有効期限、ラベルを抽出し、WebViewに入力された4桁のPINを取得する仕組みも備えています。
抽出されたデータはアンパサンド区切りの単純な文字列に組み立てられ、WebSocket経由のC2サーバへ送信されます。ファミリーの識別子は変わらず、パッケージ名前空間 nfc.share.itnamteis、CardInfoitmanteis モデル、MQTTライクなチャンネル列挙型(CARD_INFO_CHANNEL、SEND_CHANNEL)が維持されており、帰属分析や脅威ハンティングに活用できます。
運用面での進化は微妙ながらも重要です。新しいビルドではDEXファイル数の増加(8から10へ)、C2の変更(例:ws://nfck[.]loseyourip[.]com:8001/)、そして /AndroidManifest.xml/ や /classes.dex/ 配下をルートとするエントリを含む不正なZIPパスを用いた積極的なパッケージング戦術が確認されています。
APKはZIPアーカイブであるため、絶対パスや不正なパスへの書き込みを試みる単純な展開ツールは解析ホスト上でエラーが発生し、自動化されたパイプラインが失敗することがよくあります。
これらの「汚染された」パスはJADXやapkInspectorのような手動解析ツールによるコード復元を妨げるものではありませんが、脆弱なシステムにおける検出やファミリーマッチングのスコアを低下させる摩擦を生み出します。
UIフローは引き続きソーシャルエンジニアリングの核心となっています。ローカルHTMLテンプレートは、時にポルトガル語などのローカライズされた文字列を用いて、「セキュリティ上の理由から」カードをスマートフォンに近づけてPINを入力するよう促します。
NFCから取得したカードデータとPINの組み合わせにより、攻撃者は詐欺やカードクローニングに十分な情報を手に入れることができます。
また、このキャンペーンには不明なソースからのインストールを有効にする手順を被害者に案内するため、偽の銀行担当者からのSMSや電話といった追加のソーシャルエンジニアリングが含まれる場合もあります。
検出と緩和策のガイダンスは明快です。未知のAPKをサイドロードしないこと、公式アプリストアを通じてバンキングアプリのアップデートを確認すること、銀行は顧客に対して一方的な「アップデート」の促しや短縮URLへの警戒を呼びかけること、そして解析担当者は展開の失敗を無害なエラーではなく侵害の指標として扱い、apkInspectorのような堅牢なツールを使用してアーティファクトを復元することが推奨されます。
IOC(侵害指標)
| ファイル名 | MD5 | SHA-256 |
|---|---|---|
IntesaCarte.apk |
ceeb164e387e2a6952dc023eb1cf416a |
f1f78e1ad582c9540205ba808836dcb967b7093190bf994632854269692aa2d2 |
NexiCarte.apk |
63d6aaabe27edd5e60339da122d7d0cd |
6d29e6e5372cd0690e0df62eb6d98938e91191b0e639fed2476497baa8255405 |
KlirwayCarte.apk |
e937ba13a70cf62da5c5a471df866f6b |
7fb836c08ff527443b06d1c20afb6a4b0f51eb373013f211e0d3200bf26527b7 |
NexiTarjetas.apk |
9ee21d157063fd9023a501ec7f551a56 |
cb147e7ce69723523f604da875d78ca4738e5f416d2297910ee179a5067e79fe |
BCCRomaCarte.apk |
5ecd01356a39ecf540883ff8171b3677 |
091870b3f90c9a98000e0d14a67be2db5891ce98a0b1e24b721e3d96241620a5 |
SellaNFC.apk |
fcfd090aa00fe9388da6d20cd2326058 |
3c81526bcb801d7dcfaea7f379528471d745a36e3c1bdc41877b4bed34b5dce6 |
FideuramCarte1.apk |
dea4c7344a8ab14de16a1018a6e5ccfd |
9e95912f1a5fdba5050723f095b7031770b7e2f9627fb60544b41adcbb5b3306 |
BancaSellaCarte.apk |
45ee3983a7c1133f267af09173668864 |
090a30252991830596c75a945885ca3100d7a40edf4a16d78abd5bbfd90ba268 |
MooneyCarte.apk |
ded72aeca28a3a63ca1fcb8517356896 |
20b5551b2158f599517f29316884b00e0af6ae3a3bd782909f4b36fca1595698 |
IntesaCarte1.apk |
156ac1f4f722b7a7135817b07b6367ac |
d29295f1504676003fd3ccbd3e41a53aabbe80d2025bfb3a6ef9a9fcff97b6cd |
IntesaCarte2.apk |
cfd294f31384685270ca8838aac22de9 |
21c91c4cb01c7fd286dc8fa6122f6c43a5227677ffbe3566aa37204cd9e494fe |
IntesaCarte.apk |
4f71dc13d349971d76970bde1c6e3be5 |
752f3cacdad6753d4c02bb8e40ef3e0990b55466c18a7b80ec6fa7b9706e40ab |
IntesaCarte1.apk |
dea7c27a5b42df8eeb86188345ab620c |
ce462b41ab7480dce4f290a9921fca51ba40e502d480a348d50770607e3d02b9 |
IntesaCarte3.apk |
f44469676097f336dbd587d895da7a61 |
9628acabe739b5419f08c5a5c3cd776268bf4a3c25c978341e403bde442e0ece |
KlirwayCarte.apk |
9dec1a25c9e21e0202216e862e0c9e8b |
000218ce36bc7e3b29318e70eb528cad547a837dca2fb955ae63e505825268de |
IntesaCarte7.apk |
5b68cfe9515654c0d10c228de3abd5c2 |
d80ea77e9f0dbf75be823b631d3f5572ce484abf4542413482f03094a1c8aad0 |
provakk.apk |
c849829a852666680cd0de0c0ad1c300 |
f73ad6fad9cfa13deec3e729c99fb2aae33541a84c0e8f53846f9260a2f09252 |
INTESACARTE5.apk |
63ca247be35c8ef19308a36a5660b016 |
bfca31aafc6fe22f8fc4fa188a88570a70783877342a02362fd0867ba8f547bc |
Klirwaycarte1.apk |
952d1908bfeb13b8b906c833fea1dea2 |
b1bdd9549dffcff4fbad6d1c80d7ba513b0ed624e4c74a6df09756edc3882134 |
CaixaBank.apk |
d9e524c5a75ad511b802f35488f6af5d |
9fa08e172f73daa3ec8c2fb607b8500bdf915dbf09fcde5a46381e042266149e |
IntesaCarte8.apk |
dcf340486b832f9092df105a865a186a |
2a24223718cb12a8bd81679b307af73a6e062e6f1b26750546a576e285a379e7 |
provayr.apk |
a52d062e9d0115ce35c13de234e3e5d0 |
15f9d02fbb0124cdf283f7ed3e7f108ff10fe44f9bd8374f48b40a2ebb50168b |
kakayarr.apk |
10604243405e9480170dd68dab93b3e8 |
4218216156a2f083c2e79e754d92904403e8e6f54fb91034b193458bbd48346a |
IntesaCarte4.apk |
54b72c48e263a901674a5bcb15f4cbe3 |
0cacde8ec59f47dc1bea893f713e922e04aa24c63e8ab0c123aeb0204b0283bb |
IntesaCarte10.apk |
a6cc136bdda4a9ec69af6ed2ba969a85 |
73ec7502a638b4520fd8e7d204049f7d064938f58e11d2f27fbb74e61c788257 |
IntesaCarte6.apk |
1a9936e788589c10643556c3b515c42a |
69b6c30e329273585cc1c7a11c411040f34094664c68e49b5542561367ce2368 |
negroeungilipollas.apk |
d891da945d285b547642ec5e56ea8dd3 |
426ab891baf22d4a97f8c22a824f2271e8f11c3ac7532a4893e4b7f48767030f |
provaok.apk |
41ac1272a5b5971d9a52d55e2a4dd63d |
86e9b74bb96db32c03f91f638521be550d5fec827fac6aed70795f576ed8dc45 |
IntesaCarte9.apk |
4050e40d3e4604f85ecab2389cae1827 |
46e70cb7e3825ae9ea24187c7672e75e70d56bad55c3d143d10903242d59531b |
SellaCarte.apk |
19e201749611c757b4605635e8521bba |
0024620136cf4239544da4768edf7ec7a398e3b610a471033511305ccf670c42 |
CaixaReactivaTarjeta.apk |
8300753f9500ab04ad5bb9920f2d2053 |
51f7b3f6991bc6253d33e6b93f4e0429957f3d54d967c461dbb82ea2a4694e12 |
CaixaBankNfc.apk |
b16928f4e8447778388e785f746434b3 |
b0e288e8ac116bc1db13536dee2060f7ebdebc4524cba9147132ed633e028cee |
注: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])されています。MISP、VirusTotal、またはSIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファング処理を行ってください。
翻訳元: https://gbhackers.com/nfcshare-android-malware/
