760 app Android infette sfruttano NFC: allarme frodi sui pagamenti contactless

Android, 760 app infette sfruttano NFC: allarme frodi sui pagamenti contactless

Una massiccia ondata di malware Android sfrutta la tecnologia NFC per rubare dati e denaro dalle transazioni contactless. Negli ultimi mesi sono state individuate oltre 760 app malevole, spesso camuffate da applicazioni legittime, capaci di compromettere pagamenti e operazioni bancarie sui dispositivi Android. Gli attacchi, sempre più sofisticati, colpiscono sia istituti bancari che utenti comuni in Europa, Russia e America Latina.

Consigli immediati:

  • Installa solo app dal Play Store ufficiale.
  • Controlla sempre le autorizzazioni richieste dalle app.
  • Disattiva l’NFC se non necessario.
  • Aggiorna regolarmente il sistema operativo e le app di sicurezza.

La nuova frontiera del cybercrimine: attacchi NFC relay

La popolarità dei pagamenti “tap-to-pay” tramite NFC sta trasformando il modo in cui facciamo acquisti, ma anche i cybercriminali seguono questa evoluzione. Dal 2024 si osserva un’escalation di malware Android programmati per abusare di NFC e della tecnologia Host Card Emulation (HCE), con lo scopo di intercettare e trasmettere informazioni sensibili sulle carte di pagamento.

Nel giro di pochi mesi, il fenomeno è esploso: da pochi casi isolati si è passati a oltre 760 varianti di app infette note, un trend in costante crescita rilevato dai principali analisti di sicurezza mobile. Queste app vengono spesso distribuite tramite canali non ufficiali, campagne di phishing, social engineering o falsi app store.

I bersagli principali sono istituti finanziari di Russia, Polonia, Brasile, Repubblica Ceca e Slovacchia, ma l’attacco si sta espandendo a livello globale. I malware si camuffano da servizi bancari, wallet crypto, app per offerte o video, riuscendo a eludere le analisi tradizionali grazie a permessi minimi e tecniche di evasione avanzate.

Come funzionano questi nuovi malware

A differenza dei tradizionali trojan bancari, che sfruttavano overlay, phishing o intercettazione SMS, i nuovi malware NFC relay sfruttano la funzione HCE di Android, fingendosi carte di pagamento legittime. Tramite la vittima, vengono trasmessi in tempo reale dati della carta a un dispositivo remoto controllato dall’attaccante, che esegue transazioni fraudolente (come prelievi ATM o pagamenti POS senza il consenso reale dell’utente).

Il meccanismo prevede almeno tre fasi:

  1. Infezione: l’utente scarica un’app fake dal web o tramite link ricevuti (es. “TikTok 18+”, finti wallet o servizi bancari).
  2. Richiesta permessi: l’app chiede autorizzazioni elevate (come “Accessibility Services” o “Device Admin”), spesso mascherando le reali intenzioni.
  3. Attacco NFC relay: viene installato un payload che sfrutta la tecnologia NFC per trasmettere le informazioni di pagamento raccolte al server dell’hacker.

Alcuni malware, come RatOn e SuperCard X, incorporano funzioni avanzate di Remote Access Trojan (RAT) e Automated Transfer System (ATS), permettendo non solo di eseguire operazioni finanziarie automatiche, ma anche di manipolare lo schermo del dispositivo, rubare PIN e seed di wallet crypto, e addirittura implementare richieste di riscatto con tecniche di ransomware per spingere l’utente ad aprire le app compromesse.

Attori e tecnologie dietro le campagne

Gli analisti hanno identificato oltre 70 server di comando e controllo e numerosi canali Telegram utilizzati dai criminali per coordinare le attività e distribuire le varianti dei malware. Le app infette cambiano frequentemente nome e logo per ingannare anche gli utenti più attenti, impersonando banche locali, servizi internazionali e noti wallet crypto.

Molti attacchi utilizzano strumenti open source (come NFCGate), adattati e potenziati per trarre vantaggio dalle vulnerabilità dei sistemi mobili e delle implementazioni NFC, trovando ispirazione da precedenti tool di ricerca legittimi ma ora adattati a scopi malevoli.

Le perdite documentate superano già centinaia di migliaia di euro solo nell’area euroasiatica; i danni effettivi sono però probabilmente molto più estesi, considerando che molti utenti non denunciano o non si accorgono immediatamente di transazioni fraudolente legate all’NFC.

Perché è così difficile difendersi

Questi malware sono progettati per essere invisibili ai tradizionali antivirus: spesso chiedono permessi minimi e non mostrano comportamenti sospetti fino al momento dell’attacco. La capacità di “nascondersi in bella vista” complica la rilevazione tramite soluzioni classiche basate su firme o incongruenze nell’uso delle API Android.

Più recentemente, campagne come SuperCard X sono distribuite tramite servizi di Malware-as-a-Service (MaaS), offrendo kit chiavi in mano a criminali di ogni provenienza, riducendo la soglia tecnica richiesta per lanciare attacchi mirati su larga scala.

Consigli pratici per gli utenti

Attenzione alle nuove tecniche di persuasione: molti malware si presentano con offerte troppo allettanti, aggiornamenti fasulli, promesse di video “adulti” o finti servizi di premi. Anche l’installazione di app bancarie, wallet cripto o utility solo da fonti verificate è fondamentale.

Verifica sempre le autorizzazioni richieste da ogni app, soprattutto se incompatibili con la sua funzione dichiarata (ad esempio, un gioco che chiede accesso all’NFC o ai servizi di accessibilità potrebbe essere sospetto).

Disattiva l’NFC salvo quando strettamente necessario: la maggior parte dei dispositivi permette di controllare l’attivazione della tecnologia NFC dal menu Impostazioni, evitando così che un malware possa sfruttarla senza il tuo permesso.

Aggiorna regolarmente il sistema operativo, le app bancarie e il software di sicurezza del tuo smartphone, sfruttando le patch di sicurezza appena disponibili.

Come difendersi: azioni di maggiore approfondimento

Per gli utenti evoluti:

  • Utilizza soluzioni di Mobile Threat Defense (MTD) con capacità di rilevamento comportamentale e protezione in tempo reale on-device.
  • Impara a riconoscere pattern anomali, come improvvise richieste di permessi “Accessibility” o “Device Admin”.
  • Non accettare mai, senza analisi, installazioni provenienti da link o app store diversi da quello ufficiale Google Play.

Per le aziende e le banche:

  • Investi in sistemi di monitoraggio proattivo delle app distribuite sugli store, inclusi marketplace alternativi.
  • Sensibilizza periodicamente i clienti con guide anti-phishing, perdita di dati e frodi NFC.
  • Collabora con i vendor di sicurezza per migliorare gli algoritmi di rilevamento delle app sospette basate su NFC/HCE.
  • Introduci sistemi di autenticazione a più fattori e alert proattivi per le transazioni NFC sospette.

Per lo sviluppatore di app:

  • Implementa controlli anti-tampering e sistemi di monitoraggio dei permessi in runtime.
  • Adotta tecniche di offuscamento e monitoraggio delle API HCE e NFC.

Riepilogo consigli fondamentali:

  • Evita app da fonti sconosciute.
  • Non concedere permessi di “Accessibilità” o “Amministratore dispositivo” senza verifica.
  • Monitora periodicamente movimenti sul conto corrente e segnala anomalie alla banca.
  • Proteggi il dispositivo con PIN, impronta digitale o riconoscimento facciale.

Il panorama delle minacce malware NFC su Android sta cambiando rapidamente. Restare informati, adottare comportamenti prudenti e non sottovalutare le novità nel campo della cybercriminalità è oggi più che mai fondamentale per proteggere se stessi e il proprio denaro.

Fonte: https://cybersecuritynews.com/700-malicious-android-apps-abusing-nfc-relay

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto