文章总结： 一种名为NFCShare的安卓恶意软件通过假冒欧洲银行应用传播，利用NFC技术窃取支付卡数据。该恶意软件自2026年1月出现后已演变为有组织行动，通过钓鱼网站诱导用户下载恶意APK，并采用规避技术对抗分析。安全团队建议使用apkInspector等工具检测非标准ZIP结构以识别威胁。 综合评分： 85 文章分类： 恶意软件,移动安全,威胁情报,漏洞分析,安全意识

新的NFCShare恶意软件正通过假冒的合法银行APP版本传播

亮哥亮哥 亮哥亮哥

信安社群

2026年6月10日 17:30 广东

在小说阅读器读本章

去阅读

请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注！

一种名为 NFCShare 的新兴安卓恶意软件正通过假冒的合法银行应用版本传播，使欧洲的移动用户面临严重风险。

该恶意软件设计目的是通过手机的 NFC 芯片秘密窃取支付卡数据，且其规模已发展成比最初出现时更广泛、更有组织的行动。

NFCShare 首次被发现是在 2026 年 1 月，当时它被抓到冒充德意志银行。

该恶意软件利用假卡验证界面诱骗受害者将支付卡放在手机附近，通过 NFC 捕获卡片数据并发送到攻击者控制的服务器。

它还在受害者意识到异常之前就收集到了卡片的 PIN.d3Lab 的分析师识别并跟踪了该恶意软件的演变，指出自 2026 年 5 月 14 日左右开始出现急剧转变。

活动扩展到冒充多个意大利和欧洲银行品牌，包括圣保罗国际人铁（Intesa Sanpaolo）、银行塞拉银行（Banca Sella）、菲德拉姆银行（Fideuram）、Nexi、Mooney、BCC Roma，以及西班牙机构如凯沙银行（CaixaBank）。

d3Lab 在与网络安全新闻（CSN）分享的一份报告中表示 ，核心攻击方法变化不大，但背后的操作变得更加精致和规避。

该行为者现在频繁更换银行品牌，快速重建恶意 APK，并将其托管在伪装成学校项目的公共 GitHub 仓库中。这种纪律让战役更难被发现和击溃。

用户被那些看起来与真实银行门户一模一样的钓鱼网站吸引。一旦受害者输入了凭证，就会被告知银行应用需要更新，并被引导下载假的 APK。

在某些情况下，假银行操作员可能会打电话或短信给受害者，指导他们如何从未知来源实现安装。

这些恶意的 APK 名称与真实银行应用相似，如 Intesa Carte.apk、Sella Carte.apk、Klirway Carte.apk、Nexi Carte.apk 和 CaixaBank.apk 等。

下载这些文件的受害者会看到 WebView 界面内看似标准的卡片验证界面，配有进度指示器和 PIN 输入提示。

一旦受害者将卡片放在手机附近，恶意软件会利用 Android 的 NFC 读卡器，通过标准 EMV 协议命令提取卡片数据 。

卡片号、类型、标签和有效期被打包，并通过 WebSocket 连接发送到攻击者的命令控制服务器。随后，PIN 通过同一信道发送第二条消息。

在窃取凭证后，该网站通过缩短的网址重定向，最终从名为 app-scuola（学校应用）的 GitHub 仓库中丢弃了恶意 APK。截至 2026 年 6 月初，该仓库包含 57 个提交和 56 个独特的 APK 负载。

更新的 APK 还引入了一个技巧，旨在减缓自动化安全分析的速度。文件中包含故意伪装的 ZIP 路径，导致简单分析工具在解压时失效。

建议：分析人员使用能够处理非标准 ZIP 结构的工具，如开源的 apkInspector，即使标准提取器失效，也能恢复家族标记并识别恶意软件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信安社群 亮哥亮哥 亮哥亮哥《新的NFCShare恶意软件正通过假冒的合法银行APP版本传播》