Les chercheurs de d3Lab ont identifié une nouvelle vague du malware NFCShare, visant les clients de banques italiennes et espagnoles. Ce virus, distribué via de fausses applications hébergées sur GitHub, incite les victimes à scanner leur propre carte bancaire avec leur smartphone, permettant aux pirates de dérober les données et le code PIN pour des fraudes.
Une menace sophistiquée plane sur les utilisateurs de smartphones Android en Europe. Un logiciel malveillant, baptisé NFCShare, a évolué pour cibler les clients de neuf grandes banques, principalement en Italie et en Espagne. Détecté initialement début 2026 par les experts en cybersécurité de d3Lab, ce programme malicieux détourne la puce NFC (Near Field Communication) de l'appareil pour voler des informations de paiement directement depuis la carte bancaire de la victime.Quel est le mode opératoire de ce redoutable virus ?
Le fonctionnement de ce redoutable malware est aussi simple qu'ingénieux. Contrairement aux chevaux de Troie bancaires classiques qui superposent de fausses pages de connexion, cette menace adopte une approche plus directe. Une fois la fausse application bancaire installée, il demande à l'utilisateur de « vérifier sa carte » ou de « sécuriser son accès » pour une prétendue mise à jour de sécurité.
L'application affiche alors une interface invitant la victime à approcher sa carte de paiement de l'arrière de son smartphone, comme pour un paiement sans contact standard. Simultanément, elle lui demande de saisir son code PIN. Le virus capture alors le code et utilise la puce NFC pour lire toutes les données de la carte : numéro, date d'expiration et nom. Ces informations sont ensuite exfiltrées en temps réel vers un serveur contrôlé par les cybercriminels.Comment les pirates parviennent-ils à diffuser cette application piégée ?
L'infection, fruit d'une cyberattaque bien orchestrée, repose sur des techniques de manipulation psychologique. Les victimes sont d'abord attirées vers des sites de phishing imitant à la perfection l'interface de leur banque. Via des SMS ou des emails frauduleux, les attaquants les incitent à télécharger une prétendue mise à jour de sécurité ou une nouvelle version de leur application bancaire.
Ces liens ne mènent pas au Google Play Store, mais à des plateformes tierces, notamment un dépôt sur GitHub. Les chercheurs ont découvert que ce dépôt, nommé « app-scuola » (application scolaire), hébergeait des dizaines de versions des fichiers APK malveillants. Les pirates ont même intégré des parades techniques, comme des paquets APK malformés, pour déjouer les outils d'analyse automatisés.
Quelles sont les mesures à prendre pour se protéger efficacement ?La vigilance reste la meilleure défense. Il est crucial de ne télécharger des applications que depuis les boutiques officielles comme le Google Play Store. Aucune banque ne vous demandera jamais d'installer une mise à jour via un lien reçu par SMS ou de scanner votre carte bancaire pour une simple vérification. Si une application vous le demande, c'est un signal d'alarme majeur.
Examinez toujours attentivement les autorisations demandées par une application lors de son installation. Si vous n'utilisez pas le paiement sans contact au quotidien, désactiver la fonction NFC peut être une mesure de précaution supplémentaire. Enfin, l'activation des notifications bancaires instantanées permet de repérer immédiatement toute transaction suspecte sur votre compte et de réagir au plus vite
merci à GNT
