De nouvelles variantes du malware Android **NFCShare** se propagent via de fausses mises à jour d'applications bancaires légitimes, principalement hébergées sur **GitHub**. Cette menace évolutive cible désormais les clients de nombreuses banques et institutions financières à travers l'Europe, en exploitant une campagne de phishing sophistiquée conçue pour dérober des données de cartes de paiement. ### Comment l'attaque se déroule L'attaque commence généralement par la rencontre par les victimes d'un site de phishing qui usurpe l'identité d'une vraie banque, les incitant à saisir leurs identifiants bancaires. Ensuite, les utilisateurs sont invités à mettre à jour leur application bancaire et sont redirigés vers un dépôt **GitHub** contenant un fichier APK malveillant. Bien que les chercheurs de **D3Lab**, qui suivent l'activité de **NFCShare** depuis janvier 2026, n'aient pas directement observé ces méthodes dans les dernières attaques, des campagnes similaires ont souvent intégré des messages SMS ou des appels téléphoniques de faux représentants bancaires dans le cadre du processus d'ingénierie sociale. ### Détails techniques du vol de données Une fois installé, le malware trompe les victimes avec un écran de vérification factice, leur demandant de placer leurs cartes de paiement près de la puce de communication en champ proche (NFC) de l'appareil mobile. **NFCShare** exploite ensuite l'interface **IsoDep** d'Android et les commandes **EMV** pour lire les informations de la carte.  Le malware vole systématiquement le numéro de carte, le type, la date d'expiration et un code PIN à 4 chiffres, que la victime est invitée à saisir sous couvert d'une étape de sécurité. Ces données sensibles sont ensuite exfiltrées vers l'hôte de commande et de contrôle (C2) de l'attaquant via un canal WebSocket. Les informations volées peuvent ensuite être exploitées dans des schémas de relais de paiement NFC, une technique également observée dans des malwares tels que **NGate**, **SuperCard X** et **RelayNFC**. ### Expansion de la portée et tactiques d'évasion Les récentes attaques de **NFCShare**, observées à partir du 14 mai, mettent en évidence l'élargissement de la portée de ciblage du malware. Le dépôt **GitHub**, créé le 10 avril, a hébergé 56 APK uniques usurpant l'identité d'applications mobiles pour diverses banques, principalement d'Italie et d'Espagne. Celles-ci incluent **Intesa Carte**, **Sella Carte**, **Banca Sella Carte**, **Nexi Carte**, **Fideuram Carte**, **Mooney Carte**, **CaixaBank**, **CaixaBankNfc** et **CaixaReactivaTarjeta**.  Précédemment, en janvier, **D3Lab** avait signalé que le malware ciblait exclusivement **Deutsche Bank** en Allemagne, indiquant un élargissement significatif de son orientation géographique et institutionnelle. Une évolution intéressante dans les nouvelles variantes de **NFCShare** est l'introduction d'un packaging APK malformé. Cette technique, qui implique des chemins de fichiers corrompus ou malformés dans l'archive ZIP de l'APK, est conçue pour entraver l'analyse automatisée et potentiellement contourner certains outils de sécurité. Bien qu'elle puisse perturber l'analyse statique de certains outils, **D3Lab** note qu'elle n'empêche pas l'analyse manuelle ou la récupération du code. ### Se protéger contre NFCShare Pour les professionnels de la sécurité informatique et les utilisateurs soucieux de leur vie privée, la vigilance est primordiale. Pour atténuer le risque de devenir victime de **NFCShare** et de malwares Android similaires, envisagez les meilleures pratiques suivantes : * **Sourcez les applications officiellement** : Téléchargez toujours les applications bancaires exclusivement à partir des magasins d'applications officiels comme Google Play. Évitez les liens ou dépôts tiers, surtout ceux reçus par e-mail, SMS ou sur des sites web suspects. * **Activez Play Protect** : Assurez-vous que Google Play Protect est activé sur les appareils Android, car il offre une couche de défense contre les applications malveillantes. * **Faites preuve de prudence avec les scans NFC** : Soyez très méfiant de toute « demande de vérification » qui vous invite à scanner votre carte de paiement à l'aide de la puce NFC de votre appareil, en particulier en dehors d'un environnement de terminal de paiement physique de confiance. * **Vérifiez les URL** : Vérifiez toujours l'URL des sites web bancaires pour vous assurer de leur authenticité avant de saisir vos identifiants. Les sites de phishing utilisent souvent des fautes d'orthographe subtiles ou des domaines différents.