NFCShare Androidマルウェアの新しい亜種が、主にGitHub上でホストされている正規の銀行アプリケーションの偽のアップデートを通じて拡散しています。この進化する脅威は現在、欧州の多数の銀行や金融機関の顧客を標的にしており、決済カード情報を盗み取るために高度なフィッシングキャンペーンを利用しています。 ### 攻撃の展開方法 攻撃は通常、被害者が実際の銀行を装ったフィッシングサイトに遭遇し、そこで銀行の認証情報を入力するように促されることから始まります。その後、ユーザーは銀行アプリを更新するように促され、悪意のあるAPKファイルを含むGitHubリポジトリにリダイレクトされます。 D3Labの研究者は、2026年1月以来NFCShareの活動を追跡していますが、最新の攻撃でこれらの手法を直接確認したわけではありませんが、同様のキャンペーンではソーシャルエンジニアリングプロセスの一環として、偽の銀行担当者からのSMSメッセージや電話がしばしば組み込まれていました。 ### データ窃盗の技術的詳細 インストールされると、マルウェアは偽の確認画面で被害者を欺き、モバイルデバイスのNear-Field Communication（NFC）チップの近くに決済カードを置くように指示します。NFCShareはその後、AndroidのIsoDepインターフェースとEMVコマンドを利用してカード情報を読み取ります。  マルウェアは、カード番号、種類、有効期限、および被害者がセキュリティステップを装って入力するように求められる4桁のPINを体系的に盗み取ります。この機密情報は、その後、WebSocketチャネルを介して攻撃者のコマンドアンドコントロール（C2）ホストに流出されます。盗まれた情報は、NGate、SuperCard X、RelayNFCなどのマルウェアでも見られた技術であるNFC決済リレー詐欺にその後悪用される可能性があります。 ### リーチの拡大と回避戦術 5月14日から観測されている最近のNFCShare攻撃は、マルウェアの標的範囲の拡大を浮き彫りにしています。4月10日に作成されたGitHubリポジトリは、主にイタリアとスペインのさまざまな銀行のモバイルアプリを偽装した56個のユニークなAPKをホストしています。これらには、Intesa Carte、Sella Carte、Banca Sella Carte、Nexi Carte、Fideuram Carte、Mooney Carte、CaixaBank、CaixaBankNfc、CaixaReactivaTarjetaが含まれます。  以前は、1月にD3Labが、マルウェアがドイツのDeutsche Bankのみを標的にしていたと報告しており、地理的および制度的な焦点を大幅に広げていることを示しています。 新しいNFCShare亜種における興味深い進展は、不正なAPKパッケージの導入です。APKのZIPアーカイブ内の不正または破損したファイルパスを含むこの技術は、自動分析を妨害し、特定のセキュリティツールをバイパスする可能性があります。一部のツールでの静的分析を妨げる可能性がありますが、D3Labは、手動分析やコード回復を妨げるものではないと指摘しています。 ### NFCShareからの自己防衛 ITセキュリティ専門家やプライバシー意識の高いユーザーにとって、警戒が最も重要です。NFCShareおよび同様のAndroidマルウェアの被害に遭うリスクを軽減するために、以下のベストプラクティスを検討してください。 * **公式ソースからアプリを入手する**: 常にGoogle Playなどの公式アプリストアからのみ銀行アプリケーションをダウンロードしてください。電子メール、SMS、または疑わしいウェブサイト経由で受信したサードパーティのリンクやリポジトリは避けてください。 * **Play Protectを有効にする**: AndroidデバイスでGoogle Play Protectが有効になっていることを確認してください。これにより、悪意のあるアプリに対する防御層が提供されます。 * **NFCスキャンには注意する**: 特に信頼できる物理的な決済端末環境外で、デバイスのNFCチップを使用して決済カードをスキャンするように求める「確認リクエスト」には、非常に注意してください。 * **URLを確認する**: 認証情報を入力する前に、常に銀行ウェブサイトのURLが本物であることを確認してください。フィッシングサイトは、微妙なスペルミスや異なるドメインを使用することがよくあります。