偽のバンキングアプリを利用して決済カード情報を窃取する、Androidバンキング型トロイの木馬「NFCShare」の新たな攻撃波が確認されています。
このマルウェアは2026年1月にDeutsche Bankの顧客を標的とした攻撃として最初に特定されましたが、2026年5月中旬以降、その攻撃範囲を大幅に拡大しています。
BleepingComputerの報告によると、最近のキャンペーンでは、Intesa Sanpaolo、Nexi、CaixaBankといったイタリアおよびヨーロッパの主要金融機関を積極的に騙るケースが増加しています。
この巧妙な攻撃は、正規のバンキングポータルを精巧に模倣したフィッシングサイトへ被害者を誘導するところから始まります。
ユーザーがオンラインバンキングの認証情報を入力すると、悪意のあるサイトはバンキングアプリの「必須アップデート」を実行するよう促してきます。
この周到に仕組まれた手口では、短縮URLを経由して被害者を誘導し、最終的には悪意あるAPKファイルをホスティングするGitHubリポジトリへと誘い込みます。
NFCShareマルウェアがインストールされると、WebView内でローカルのHTMLおよびJavaScriptインターフェースを読み込み、巧みに作られたカード確認画面を表示します。
アプリは複数の言語で被害者に対し、物理的な決済カードをスマートフォンに近づけるよう指示し、その操作に集中させます。
その間、ネイティブのAndroidコードはバックグラウンドで密かに動作しています。マルウェアはAndroidのIsoDep インターフェースを使用して決済カードに専用コマンドを送信し、返ってきたデータを解析します。
この処理によって、トロイの木馬はカード番号・カード種別・有効期限の取得に成功します。さらにアプリは、通常のセキュリティ確認を装って4桁のPINコードを入力させることで、詐取する情報を完成させます。
こうして収集されたすべてのデータは、シンプルなテキスト文字列にシリアライズされ、OkHttpベースのWebSocketチャネルを通じて攻撃者のコマンド&コントロールサーバーへ迅速に送信されます。
最近のNFCShareサンプルにおける最も注目すべき技術的な進化は、自動セキュリティ解析を妨害することを目的としたパッケージング手法の変更です。
マルウェアの新しい亜種では、DEXファイルの数が8個から10個に増加し、不正なファイルパスを持つ不正なZIPエントリが組み込まれるようになりました。
APKファイルは本質的にZIPアーカイブであるため、自動解析パイプラインがこの不正なエントリを絶対パスとして書き込もうとし、展開に失敗することがあります。
BleepingComputerによると、このパッケージングの手口は手動でのコード復元を完全に阻止するものではありませんが、静的解析ツールを効果的に妨害し、検出スコアを低下させます。
脅威ハンターは、独自のMQTTチャネル列挙やハードコードされた難読化キーといった固有の内部マーカーを手がかりに、引き続きマルウェアを追跡できます。
D3Labの研究者らは、特殊なパースツールを使用すれば改ざんされたサンプルのトリアージは引き続き可能であると強調しており、展開の失敗自体がこの新しいNFCShareキャンペーンの強力な指標になっていると指摘しています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化(デファング)されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻してご使用ください。
翻訳元: https://cyberpress.org/banking-apps-spread-nfcshare/