Sicherheitsforscher haben eine neue NFCShare-Kampagne entdeckt, die Android-Nutzer über gefälschte Updates von Banking-Apps ins Visier nimmt, die auf GitHub bereitgestellt werden. Die Operation gibt sich als legitime Banken und Finanzinstitute aus und verleitet Opfer dazu, schädliche Anwendungen zu installieren, die Zahlungskartendaten stehlen und betrügerische Transaktionen ermöglichen.
Die Forscher berichten, dass die Kampagne in den vergangenen Monaten deutlich ausgeweitet wurde und Kunden mehrerer Banken in Europa betrifft. Die Angreifer setzen dabei vor allem auf Social Engineering statt auf Software-Schwachstellen, wodurch die Interaktion der Nutzer ein zentraler Bestandteil des Angriffs wird.
Angreifer tarnen Malware als Banking-Updates
Die Kampagne beginnt mit Phishing-Nachrichten, die Opfer auf Websites weiterleiten, die legitime Banken nachahmen. Dort behaupten die Angreifer, dass Nutzer ein Sicherheitsupdate installieren, ihre Identität bestätigen oder ihre Banking-App aktualisieren müssen.
Anstatt eine legitime Anwendung herunterzuladen, installieren die Opfer ein schädliches Android-Paket, das auf GitHub gehostet wird. Da GitHub als vertrauenswürdige Plattform gilt, betrachten manche Nutzer den Download als legitim und übersehen Warnsignale.
Nach der Installation fordert die Malware Berechtigungen an, die ihr die Durchführung betrügerischer Aktivitäten und die Kommunikation mit von den Angreifern kontrollierten Systemen ermöglichen.
Malware missbraucht NFC-Technologie
Im Gegensatz zu klassischen Banking-Trojanern, die sich auf den Diebstahl von Zugangsdaten konzentrieren, hat es NFCShare auf Zahlungskarteninformationen abgesehen.
Die Malware fordert die Opfer auf, ihre Zahlungskarte an die Rückseite ihres Android-Geräts zu halten. Mithilfe der NFC-Funktion des Smartphones liest die schädliche Anwendung Daten direkt vom Chip der Karte aus.
Anschließend fordert die App die Nutzer auf, ihre PIN einzugeben, angeblich um einen Verifizierungsprozess abzuschließen. Sobald die Angreifer sowohl die Kartendaten als auch die PIN besitzen, können sie diese Informationen für NFC-Relay-Angriffe und andere Formen des Zahlungsbetrugs nutzen.
Laut den Forschern sendet die Malware die erfassten Daten an eine von den Bedrohungsakteuren kontrollierte Infrastruktur, sodass die gestohlenen Informationen nahezu sofort missbraucht werden können.
Kampagne richtet sich gegen mehrere Banken
Die Forscher beobachteten, dass die Malware Kunden zahlreicher Finanzinstitute angreift, anstatt sich auf eine einzelne Bank zu konzentrieren. Dieser Ansatz erhöht die Zahl potenzieller Opfer und ermöglicht es den Angreifern, ihre Kampagne über verschiedene Länder hinweg auszuweiten.
Die Täter erstellen fortlaufend neue Phishing-Seiten und schädliche Anwendungen, um die Operation aktiv zu halten. Durch das Hosting der APK-Dateien auf GitHub gewinnen sie zudem ein gewisses Maß an Glaubwürdigkeit, das ihnen hilft, Nutzer zur Installation der Malware zu bewegen.
Die Kampagne zeigt, wie Cyberkriminelle weiterhin Phishing-Techniken mit mobiler Schadsoftware kombinieren, um Bankkunden anzugreifen.
Forscher warnen Android-Nutzer
Sicherheitsexperten empfehlen, Anwendungen ausschließlich aus offiziellen App-Stores zu installieren und Banking-Updates zu vermeiden, die über Links in E-Mails, SMS-Nachrichten oder Messenger-Diensten bereitgestellt werden.
Nutzer sollten außerdem äußerst vorsichtig sein, wenn sie aufgefordert werden, eine Zahlungskarte zu scannen oder ihre PIN einzugeben. Seriöse Banken verlangen nur selten, dass Kunden Verifizierungsprozesse über Android-Anwendungen von Drittanbietern durchführen.
Auch die Überprüfung von App-Berechtigungen vor der Installation sowie die Aktivierung mobiler Sicherheitsfunktionen können das Infektionsrisiko verringern.
Fazit
Die aktuelle NFCShare-Kampagne zeigt, wie Angreifer mobile Banking-Bedrohungen weiterentwickeln, um herkömmliche Schutzmaßnahmen zu umgehen. Durch die Tarnung der Malware als Banking-Update und den Missbrauch der NFC-Technologie haben die Bedrohungsakteure eine effektive Methode geschaffen, um Zahlungskarteninformationen zu stehlen.
Da sich die Kampagne in Europa weiter ausbreitet, sollten Android-Nutzer bei unerwarteten Banking-Benachrichtigungen besonders vorsichtig sein und Apps ausschließlich aus vertrauenswürdigen Quellen herunterladen.
0 Kommentare zu „NFCShare-Malware verbreitet sich über gefälschte Banking-App-Updates“