Một biến thể mã độc Android mới được gọi là NFCShare đang được phát tán thông qua các phiên bản giả mạo của ứng dụng ngân hàng hợp pháp, gây ra rủi ro nghiêm trọng cho người dùng di động trên khắp châu Âu. Mã độc này được thiết kế để bí mật đánh cắp dữ liệu thẻ thanh toán bằng cách sử dụng chip NFC trên điện thoại, và đã phát triển thành một chiến dịch rộng lớn và phối hợp hơn so với thời điểm xuất hiện ban đầu. Đây là một ví dụ điển hình về tin tức bảo mật đáng chú ý trong thời gian gần đây.
NFCShare lần đầu tiên được phát hiện vào tháng 1 năm 2026, khi nó giả mạo ứng dụng của Deutsche Bank. Mã độc sử dụng một màn hình xác minh thẻ giả mạo để lừa người dùng đặt thẻ thanh toán của họ gần điện thoại. Quá trình này cho phép kẻ tấn công thu thập dữ liệu thẻ qua NFC và gửi đến máy chủ do kẻ tấn công kiểm soát. Nó còn thu thập mã PIN của thẻ trước khi nạn nhân nhận ra có điều bất thường.
Chiến Dịch Mở Rộng
Các nhà phân tích tại d3Lab đã nhận diện và theo dõi sự phát triển của mã độc này, ghi nhận sự thay đổi đáng kể bắt đầu từ khoảng ngày 14 tháng 5 năm 2026. Chiến dịch mới đã mở rộng ra để giả mạo nhiều thương hiệu ngân hàng Ý và châu Âu khác, bao gồm Intesa Sanpaolo, Banca Sella, Fideuram, Nexi, Mooney, BCC Roma và các tổ chức Tây Ban Nha như CaixaBank.
Mặc dù phương pháp tấn công cốt lõi không thay đổi nhiều, hoạt động phía sau đã trở nên tinh vi và khó lường hơn. Kẻ tấn công hiện đang thay đổi thương hiệu ngân hàng mục tiêu một cách thường xuyên, tái xây dựng các tệp APK độc hại với tốc độ nhanh chóng và lưu trữ chúng trong một kho lưu trữ GitHub công khai, ngụy trang dưới dạng một dự án trường học. Điều này khiến chiến dịch trở nên khó bị phát hiện và gỡ bỏ.
Phương Thức Phân Tán Và Lừa Đảo
Người dùng bị thu hút thông qua các trang web lừa đảo có giao diện giống hệt các cổng thông tin ngân hàng thực tế. Sau khi nạn nhân nhập thông tin đăng nhập, họ sẽ được thông báo rằng ứng dụng ngân hàng của họ cần cập nhật và được hướng dẫn tải xuống một tệp APK giả mạo. Trong một số trường hợp, đối tượng tấn công có thể gọi hoặc nhắn tin cho nạn nhân để hướng dẫn họ bật cài đặt ứng dụng từ nguồn không xác định.
Tệp APK Độc Hại
Các tệp APK độc hại mang tên gần giống với các ứng dụng ngân hàng thật, ví dụ như Intesa Carte.apk, Sella Carte.apk, Klirway Carte.apk, Nexi Carte.apk và CaixaBank.apk.
Khi nạn nhân tải xuống một trong các tệp này, họ sẽ thấy giao diện xác minh thẻ trông giống như bình thường bên trong màn hình WebView, bao gồm chỉ báo tiến trình và lời nhắc nhập mã PIN.
Cơ Chế Tấn Công NFC
Khi nạn nhân đặt thẻ của họ gần điện thoại, mã độc sử dụng trình đọc NFC của Android để trích xuất dữ liệu thẻ thông qua một lệnh giao thức EMV tiêu chuẩn. Số thẻ, loại thẻ, nhãn và ngày hết hạn được đóng gói và gửi qua kết nối WebSocket đến máy chủ điều khiển và chỉ huy của kẻ tấn công. Sau đó, mã PIN sẽ được gửi trong một thông điệp thứ hai qua cùng một kênh.
Chi Tiết Kỹ Thuật Về Giao Thức
Trang web lừa đảo ban đầu, ví dụ như areaclienti-intesa[.]com, sao chép chặt chẽ cổng thông tin thực tế của Intesa Sanpaolo. Sau khi đánh cắp thông tin đăng nhập, trang web này chuyển hướng người dùng qua một URL rút gọn, cuối cùng tải xuống tệp APK độc hại từ một kho lưu trữ GitHub có tên app-scuola (hoặc “ứng dụng trường học”). Tính đến đầu tháng 6 năm 2026, kho lưu trữ này chứa 57 lượt commit và 56 tải lên APK duy nhất.
Ngụy Trang Và Né Tránh Phát Hiện
Một trong những thay đổi đáng chú ý trong chiến dịch này là cách kẻ tấn công sử dụng GitHub làm nền tảng phân phối mã độc. Kho lưu trữ được ngụy trang bằng một tệp README giả mạo mô tả nó như một ứng dụng bài tập về nhà. Một tập lệnh shell đẩy các bản dựng APK đã cập nhật với thông điệp commit “Aggiornato tutto” (nghĩa là “Đã cập nhật mọi thứ” trong tiếng Ý).
Cấu Trúc APK Nghi Vấn
Các tệp APK mới hơn cũng giới thiệu một kỹ thuật nhằm làm chậm quá trình phân tích bảo mật tự động. Các tệp chứa các đường dẫn ZIP được định dạng sai một cách cố ý, khiến các công cụ phân tích đơn giản gặp lỗi trong quá trình giải nén. Điều này có thể dẫn đến việc các pipeline phát hiện tự động cho điểm số khớp thấp hơn hoặc bỏ qua các tệp, cho phép kẻ tấn công có thêm thời gian hoạt động trong môi trường thực tế.
Phát Hiện Và Khuyến Nghị
Đối với các chuyên gia phòng thủ, cơ hội phát hiện mạnh mẽ nhất nằm ở các dấu hiệu mã NFCShare nội bộ, sự kết hợp giữa hành vi WebView và NFC, cùng với cấu trúc APK bị định dạng sai trong các bản dựng mới hơn. Các nhà phân tích được khuyến nghị sử dụng các công cụ có khả năng xử lý cấu trúc ZIP không chuẩn, chẳng hạn như apkInspector mã nguồn mở, để có thể khôi phục các dấu hiệu nhận dạng gia đình và xác định mã độc ngay cả khi các trình giải nén tiêu chuẩn thất bại.
Nghiên cứu và phân tích chi tiết về mã độc này có thể được tìm thấy trong báo cáo của d3Lab, cung cấp cái nhìn sâu sắc về kỹ thuật và chiến thuật được sử dụng.
Tham khảo thêm chi tiết tại: d3lab.net
Chỉ Số Gây Hại (Indicators of Compromise – IoCs)
- Tên Miền Lừa Đảo (Ví dụ): areaclienti-intesa[.]com
- Kho Lưu Trữ GitHub Phân Phối Payload: app-scuola
- Đặc Điểm Mã Độc: Sử dụng chip NFC để trích xuất dữ liệu thẻ và mã PIN, màn hình xác minh thẻ giả mạo, APK được ngụy trang tên ngân hàng.
- Cấu Trúc Tệp: Chứa các đường dẫn ZIP được định dạng sai trong các phiên bản mới.
Lưu ý: Địa chỉ IP và tên miền được cố tình làm sai lệch (ví dụ: sử dụng `[.]`) để ngăn chặn việc phân giải hoặc tạo siêu liên kết ngẫu nhiên. Chỉ nên phục hồi định dạng gốc trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
