Nuevas variantes del malware para Android **NFCShare** se están propagando a través de falsas actualizaciones de aplicaciones bancarias legítimas, alojadas principalmente en **GitHub**. Esta amenaza en evolución ahora se dirige a clientes de numerosos bancos e instituciones financieras en toda Europa, aprovechando una sofisticada campaña de phishing diseñada para robar datos de tarjetas de pago. ### Cómo se Desarrolla el Ataque El ataque generalmente comienza cuando las víctimas encuentran un sitio de phishing que imita a un banco real, lo que les pide que ingresen sus credenciales bancarias. Después de esto, se insta a los usuarios a actualizar su aplicación bancaria y luego se les redirige a un repositorio de **GitHub** que contiene un archivo APK malicioso. Si bien los investigadores de **D3Lab**, que han estado rastreando la actividad de **NFCShare** desde enero de 2026, no observaron directamente estos métodos en los ataques más recientes, campañas similares a menudo han incorporado mensajes SMS o llamadas telefónicas de representantes bancarios falsos como parte del proceso de ingeniería social. ### Detalles Técnicos del Robo de Datos Una vez instalado, el malware engaña a las víctimas con una pantalla de verificación falsa, instruyéndolas a colocar sus tarjetas de pago cerca del chip de comunicación de campo cercano (NFC) del dispositivo móvil. **NFCShare** luego aprovecha la interfaz **IsoDep** de Android y los comandos **EMV** para leer la información de la tarjeta.  El malware roba sistemáticamente el número de tarjeta, el tipo, la fecha de vencimiento y un PIN de 4 dígitos, que se le pide a la víctima que ingrese bajo el pretexto de un paso de seguridad. Estos datos sensibles se exfiltran luego al host de comando y control (C2) del atacante a través de un canal WebSocket. La información robada puede ser explotada posteriormente en esquemas de retransmisión de pagos NFC, una técnica también vista en malware como **NGate**, **SuperCard X** y **RelayNFC**. ### Ampliación del Alcance y Tácticas de Evasión Los ataques recientes de **NFCShare**, observados a partir del 14 de mayo, resaltan el alcance ampliado de los objetivos del malware. El repositorio de **GitHub**, creado el 10 de abril, ha alojado 56 APKs únicos que se hacen pasar por aplicaciones móviles de varios bancos, predominantemente de Italia y España. Estos incluyen **Intesa Carte**, **Sella Carte**, **Banca Sella Carte**, **Nexi Carte**, **Fideuram Carte**, **Mooney Carte**, **CaixaBank**, **CaixaBankNfc** y **CaixaReactivaTarjeta**.  Anteriormente, en enero, **D3Lab** informó que el malware se dirigía exclusivamente a **Deutsche Bank** en Alemania, lo que indica una ampliación significativa de su enfoque geográfico e institucional. Un desarrollo interesante en las nuevas variantes de **NFCShare** es la introducción de empaquetado de APK malformado. Esta técnica, que implica rutas de archivo envenenadas o malformadas dentro del archivo ZIP del APK, está diseñada para obstaculizar el análisis automatizado y potencialmente eludir ciertas herramientas de seguridad. Si bien puede interrumpir el análisis estático en algunas herramientas, **D3Lab** señala que no impide el análisis manual ni la recuperación de código. ### Protéjase Contra NFCShare Para los profesionales de seguridad de TI y los usuarios preocupados por la privacidad, la vigilancia es primordial. Para mitigar el riesgo de ser víctima de **NFCShare** y malware similar para Android, considere las siguientes mejores prácticas: * **Obtenga Aplicaciones Oficialmente**: Descargue siempre las aplicaciones bancarias exclusivamente de las tiendas de aplicaciones oficiales como Google Play. Evite enlaces o repositorios de terceros, especialmente los recibidos por correo electrónico, SMS o sitios web sospechosos. * **Habilite Play Protect**: Asegúrese de que Google Play Protect esté habilitado en los dispositivos Android, ya que proporciona una capa de defensa contra aplicaciones maliciosas. * **Tenga Precaución con los Escaneos NFC**: Sea muy sospechoso de cualquier "solicitud de verificación" que le pida que escanee su tarjeta de pago usando el chip NFC de su dispositivo, particularmente fuera de un entorno de terminal de pago físico de confianza. * **Verifique las URL**: Siempre verifique la URL de los sitios web bancarios para asegurarse de su autenticidad antes de ingresar credenciales. Los sitios de phishing a menudo usan errores tipográficos sutiles o dominios diferentes.