Giriş
Son dönemde, NFCShare adında yeni bir Android kötü amaçlı yazılım türü, GitHub üzerinde barındırılan sahte güncellemeler aracılığıyla yayılmaya başlamıştır. Bu yazılım, Avrupa’daki birçok banka ve finans kurumunun müşterilerini hedef alarak, ödeme kartı verilerini çalmaya yönelik bir oltalama kampanyası yürütmektedir.
Saldırı Nasıl Çalışıyor?
NFCShare, kurbanlarını sahte bir doğrulama ekranı aracılığıyla kandırarak, kartları mobil cihazların yakın alan iletişimi (NFC) çipinin yakınında tutmaya yönlendirir. Yazılım, Android’in IsoDep arayüzü ve EMV komutlarını kullanarak bilgileri okur. Kötü amaçlı yazılım, kurbanın giriş yaptığı kart numarasını, kart tipini, son kullanma tarihini ve gizli bir PIN’i çalarak, bu bilgileri saldırganın komuta kontrol (C2) merkezine bir WebSocket kanalı üzerinden gönderir.
Etkilenen Sistemler
NFCShare, özellikle İtalya ve İspanya gibi ülkelerden gelen çeşitli bankaların sahte uygulamaları olarak aşağıdaki APK dosyalarını içeren 56 farklı sürümle kötü amaçlı yazılım yayılımını gerçekleştirmiştir:
- Intesa Carte.apk
- Sella Carte.apk
- Banca Sella Carte.apk
- Nexi Carte.apk
- Fideuram Carte.apk
- Mooney Carte.apk
- CaixaBank.apk
- CaixaBankNfc.apk
- CaixaReactivaTarjeta.apk
D3Lab araştırmacıları, ilk kez Ocak 2026’da belgelenen bu kötü amaçlı yazılımın, başlangıçta yalnızca Alman Deutsche Bank’ı hedef aldığını belirtmiştir. Bu durum, NFCShare’in hedef kitlesinin genişlediğini göstermektedir.
Çözüm ve Korunma
Android kullanıcılarının, güvenliklerini sağlamak için aşağıdaki önlemleri almaları önerilmektedir:
- Bankacılık uygulamalarını yalnızca Google Play’den indireceklerdir.
- Play Protect özelliğini etkinleştireceklerdir.
- Sahte “doğrulama taleplerine” karşı dikkatli olacaklardır.
D3Lab, kötü amaçlı yazılımın yeni versiyonunun otomatik analizleri engellemek için hatalı APK paketleme teknikleri kullandığını da vurgulamaktadır. Bu, bazı çıkarım araçlarının iç yolları yanlış yorumlamasına sebep olsa da, manuel analiz veya kod kurtarma konusunda bir engel teşkil etmemektedir.
Sonuç
Okuyucuların, ani güncellemeleri ve uygulama değişikliklerini dikkatle değerlendirmeleri gerekmektedir. Kötü amaçlı yazılımlara karşı korunmak amacıyla, sistem güncellemelerini yapmalı ve gerekirse ilgili portları kapatmalıdır. Bankacılık işlemleri sırasında kaygı verici herhangi bir durumla karşılaştıklarında, doğrudan bankanın resmi kanallarıyla iletişim kurmaları önerilmektedir.
