Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware NFCShare para Android

Malware NFCShare para Android

Por Mezo en Malware móvil
Traducir a:

Investigadores de ciberseguridad han identificado nuevas variantes del malware para Android NFCShare, que se distribuyen mediante actualizaciones falsas de aplicaciones bancarias legítimas alojadas en GitHub. Esta amenaza ha evolucionado significativamente respecto a sus versiones anteriores y ahora ataca a clientes de numerosos bancos e instituciones financieras en toda Europa mediante sofisticadas operaciones de phishing diseñadas para robar información de tarjetas de pago.

Cómo NFCShare roba datos confidenciales de tarjetas

El ataque se basa en técnicas de ingeniería social que convencen a las víctimas para que interactúen con un proceso de verificación fraudulento. Se les indica a los usuarios que acerquen sus tarjetas de pago al chip de comunicación de campo cercano (NFC) de su dispositivo móvil, lo que permite que el malware acceda a los datos de la tarjeta a través de la interfaz IsoDep de Android y los comandos EMV.

Una vez activado, NFCShare recopila información crítica, que incluye:

  • Número de tarjeta de pago
  • Tipo de tarjeta
  • Fecha de expiración
  • Código PIN de cuatro dígitos introducido por la víctima como parte de un proceso de verificación de seguridad falso.

La información robada se transmite a la infraestructura de comando y control (C2) de los atacantes a través de un canal de comunicación WebSocket. Estos datos pueden utilizarse posteriormente en ataques de retransmisión de pagos NFC similares a los asociados anteriormente con las campañas de malware NGate, SuperCard X y RelayNFC.

Una amenaza en evolución con características distintivas

NFCShare fue documentado por primera vez por investigadores de seguridad en enero de 2026, y el monitoreo continuo ha revelado el desarrollo y perfeccionamiento constantes del malware. Si bien la amenaza comparte similitudes de comportamiento con otras familias de malware para Android que explotan la tecnología NFC, los investigadores han identificado diferencias notables en su código fuente, bibliotecas, arquitectura y métodos de implementación.

A pesar de estas diferencias, los expertos creen que NFCShare podría representar una evolución del mismo ecosistema cibercriminal más amplio y que podría estar operado por los mismos actores maliciosos responsables de campañas relacionadas.

La cadena de ataque comienza con páginas de phishing bancarias.

Los ataques recientes detectados desde el 14 de mayo siguen una cadena de infección cuidadosamente elaborada. Las víctimas son redirigidas primero a sitios web de phishing que imitan portales bancarios legítimos y solicitan credenciales de banca en línea. Tras proporcionar esta información, se les anima a instalar lo que parece ser una actualización obligatoria de la aplicación bancaria.

Posteriormente, las víctimas son redirigidas a un repositorio de GitHub que aloja archivos APK maliciosos para Android. Los investigadores también señalan que los mensajes SMS y las llamadas telefónicas de personas que se hacen pasar por representantes bancarios podrían incorporarse al proceso de ingeniería social, aunque estas técnicas aún no se han observado directamente en las campañas de NFCShare.

Un repositorio de GitHub aloja docenas de aplicaciones bancarias falsas.

El repositorio de GitHub utilizado para distribuir el malware se creó el 10 de abril y ya ha alojado 56 archivos APK maliciosos únicos que suplantan aplicaciones bancarias, dirigidos principalmente a clientes en Italia y España. Algunos ejemplos son:

  • Carta Intesa, Carta Sella, Carta Banca Sella, Carta Nexi, Carta Fideuram y Carta Mooney
  • CaixaBank, CaixaBankNfc y CaixaReactivaTarjeta

Investigadores informaron previamente que NFCShare solo atacó a clientes de Deutsche Bank en Alemania durante enero de 2026. Los hallazgos más recientes sugieren que los operadores del malware han ampliado significativamente su alcance en toda Europa.

Técnicas de ofuscación diseñadas para complicar el análisis.

Una de las mejoras más notables en las últimas variantes de NFCShare es el uso de técnicas de empaquetado de APK malformadas, destinadas a interrumpir el análisis automatizado de malware y, potencialmente, interferir con ciertas herramientas de seguridad.

Aunque los archivos APK siguen siendo archivos ZIP estándar, las muestras más recientes contienen rutas de archivo con formato incorrecto. Estas rutas manipuladas pueden provocar que algunas herramientas de extracción interpreten erróneamente las rutas relativas internas como ubicaciones reales del sistema de archivos, lo que genera errores de procesamiento e intentos de análisis fallidos.

Sin embargo, esta técnica no impide la investigación manual ni la recuperación del código. En cambio, sirve principalmente para complicar los flujos de trabajo de análisis estático y obstaculizar los mecanismos de detección automatizados.

Protección contra infecciones de NFCShare

Los expertos en seguridad recomiendan a los usuarios de Android descargar aplicaciones bancarias exclusivamente de fuentes confiables y de buena reputación, como tiendas de aplicaciones oficiales o sitios web bancarios verificados. Asimismo, deben tener precaución ante procedimientos de verificación inesperados, especialmente aquellos que solicitan escaneos de tarjetas NFC u otras comprobaciones de seguridad inusuales, ya que podrían indicar un intento de obtener información financiera confidencial.

Tendencias

Estafa por correo electrónico sobre presupuestos y...

Suplantación de identidad (phishing), Correo basura
Los ciberdelincuentes perfeccionan constantemente sus tácticas para que los correos electrónicos fraudulentos parezcan convincentes, por lo que es fundamental estar alerta ante cualquier mensaje inesperado. Incluso los correos que parecen profesionales y relacionados con el trabajo pueden ser estafas cuidadosamente elaboradas para robar información confidencial. La campaña de correo electrónico...

Mas Visto

Cargando...