NFCShare 안드로이드 악성코드, GitHub 가짜 은행 앱 업데이트로 확산
NFCShare Android 악성코드의 새로운 변종이 GitHub에 호스팅된 정품 은행 앱의 가짜 업데이트 형태로 배포되고 있습니다.
악성코드는 진화하여 현재 유럽 전역의 여러 은행 및 금융 기관 고객을 대상으로 결제 카드 데이터를 탈취하려는 피싱 캠페인을 전개하고 있습니다.
가짜 인증 화면으로 피해자를 속여 카드를 모바일 기기의 근거리 무선 통신(NFC) 칩 근처에 놓도록 유도한 뒤, NFCShare는 Android의 IsoDep 인터페이스와 EMV 명령을 사용해 정보를 읽어냅니다.
악성코드는 카드 번호, 종류, 만료일 및 피해자가 보안 절차라는 명목으로 입력한 4자리 PIN을 탈취한 뒤, WebSocket 채널을 통해 공격자의 명령·제어(C2) 서버로 전송합니다.
이렇게 수집된 정보는 NFC 결제 릴레이 스킴에 활용될 수 있으며, 이는 NGate, SuperCard X 및 RelayNFC 악성코드 공격 사례에서 문서화되었습니다.
NFCShare의 사회공학 화면
Source: D3Lab
NFCShare는 2026년 1월 D3Lab 연구원들에 의해 최초로 문서화되었으며, 이후 그 활동과 진화를 지속적으로 추적해 왔습니다.
D3Lab 연구원 Andrea Draghetti는 BleepingComputer에 NFC 칩을 이용해 데이터를 탈취하는 다른 Android 악성코드와 유사점이 있음에도 불구하고, NFCShare는 고유한 코드, 라이브러리, 아키텍처 및 구현 세부 사항을 사용한다고 설명했습니다.
하지만 Draghetti는 이것이 동일한 위협 행위자에 의해 구동되는 동일 생태계의 진화일 가능성도 있다고 언급했습니다.
5월 14일부터 관찰된 최근 NFCShare 공격은 먼저 피해자를 실제 은행을 사칭한 피싱 사이트로 유인해 은행 계좌 정보를 입력하도록 요구하는 것으로 시작됩니다.
그 후 피해자는 은행 앱을 업데이트하라는 메시지를 받고, 악성 APK 파일이 호스팅된 GitHub 저장소로 리디렉션됩니다.
악성 GitHub 저장소
Source: D3Lab
연구진은 가짜 은행 담당자에게서 온 SMS 메시지나 전화가 사회공학 과정의 일부로 사용될 수 있다고 지적했으며, 이는 유사한 공격에서 관찰된 바 있지만 D3Lab 연구원들은 직접 이러한 방법을 확인하지는 못했습니다.
4월 10일에 생성된 이후, NFCShare 배포에 사용된 GitHub 저장소에는 이탈리아와 스페인을 중심으로 한 은행 모바일 앱을 가장한 56개의 고유 APK가 업로드되었습니다:
- Intesa Carte.apk
- Sella Carte.apk
- Banca Sella Carte.apk
- Nexi Carte.apk
- Fideuram Carte.apk
- Mooney Carte.apk
- CaixaBank.apk
- CaixaBankNfc.apk
- CaixaReactivaTarjeta.apk
1월에 D3Lab은 이 악성코드가 독일에서 Deutsche Bank만을 표적으로 삼았다고 보고했으며(관련 기사), 이는 대상 범위가 확대되고 있음을 시사합니다.
새 버전 악성코드의 흥미로운 점 중 하나는 자동 분석을 방해하기 위해 잘못된 형태의 APK 패키징을 도입했다는 것입니다. 이는 보안 도구에도 영향을 줄 수 있습니다.
APK 자체는 여전히 ZIP 아카이브이지만, 최신 샘플들은 ZIP 내부에 독성/잘못된 파일 경로를 포함하고 있어 일부 압축 해제 도