Startsida Datorer & mjukvara Ny Android-trojan läser av ditt bankkort via NFC: sprids i...

Ny Android-trojan läser av ditt bankkort via NFC: sprids i Europa sedan maj

Ny Android-trojan läser av ditt bankkort via NFC: sprids i Europa sedan maj
Levererat av Teksajten

En ny Android-trojan vid namn NFCShare stjäl bankkortdata direkt via telefonens NFC-radio, utan att öppna bankappen.

Skadeprogrammet dokumenterades först i januari 2026 av italienska säkerhetsforskare, men har sedan den 14 maj 2026 växlat upp kraftigt och riktar sig nu mot kunder hos flera stora banker i Italien och Spanien.

Bland de banker som imiteras finns Intesa Sanpaolo, Banca Sella, Fideuram, Nexi, Mooney och BCC Roma i Italien samt CaixaBank i Spanien. Ursprungligen var måltavlan Deutsche Bank-kunder i Tyskland, enligt forskargruppen D3 Lab som spårar kampanjen.

Så går attacken till

Angreppet börjar med en klassisk phishing-sida som ser ut som offrets bank och som ber om inloggningsuppgifter. Därefter uppmanas offret att ”uppdatera” sin bankapp och skickas vidare till en installationsfil (APK) som ligger på ett så kallat GitHub-arkiv med namnet app-scuola, alltså ”skolapp”.

I det arkivet fanns i början av juni 2026 56 unika skadliga APK-filer upplagda i 57 uppdateringar sedan arkivet skapades den 10 april 2026. Varje fil är förklädd till en riktig banks app.

När appen väl är installerad visas en falsk verifieringsruta som ber användaren hålla sitt bankkort mot telefonens baksida. I det ögonblicket startar den faktiska stölden.

NFC-funktionen missbrukas via IsoDep

Trojanen använder ett inbyggt Android-gränssnitt som heter IsoDep. Det är en standardkomponent i Androids NFC-stack som gör att telefonen kan prata med kort som följer den internationella standarden ISO/IEC 14443-4, samma standard som bankkort använder.

NFCShare skickar EMV-kommandon, betalkortens eget kommandospråk, till kortet via IsoDep och läser av kortnummer, korttyp, giltighetstid och etikett. Parallellt lurar den falska rutan användaren att skriva in sin fyrsiffriga PIN-kod, som ”säkerhetssteg”. Både kortdata och PIN skickas vidare till angriparens server i realtid via en så kallad WebSocket-anslutning, enligt teknisk analys från GBHackers.

Poängen är att trojanen aldrig behöver ta sig in i själva bankappen eller kringgå bankens inloggning. Den läser kortet direkt via NFC-radion, precis som en kortterminal skulle göra i en butik.

Vad det betyder för svenska användare

Sverige är ett av Europas mest kontaktlösa samhällen. Enligt Nets Nordic Payment Report 2022, publicerad i februari 2023, gjordes 83 procent av alla kortbetalningar i Sverige kontaktlöst i slutet av 2022, upp från 73 procent året innan. Andelen är sannolikt högre idag, men aktuell statistik för 2026 saknas.

Samma NFC-teknik som gör det möjligt att ”blippa” kortet i butiken är alltså den teknik NFCShare utnyttjar. Något svenskt fall av NFCShare har hittills inte rapporterats, men kampanjen sprids aktivt i Europa och distributionsmetoden, phishing plus falsk appuppdatering, kräver inga geografiska anpassningar.

Ska du stänga av NFC?

NFC på Android går att slå av under inställningarna för anslutningar. Det är en rimlig försiktighetsåtgärd om man inte använder kontaktlösa betalningar eller kollektivtrafikkort, eftersom radion då bara är aktiv när man själv slår på den.

Den viktigare skyddsåtgärden är dock att aldrig installera bankappar från annat håll än Google Play eller bankens officiella hemsida, och att avvisa uppmaningar via SMS eller telefon om att uppdatera bankappen via en extern länk, påpekar Cybersecurity News. NFCShare kräver nämligen att offret själv laddar ner APK-filen och godkänner installation från okänd källa, ett steg Android varnar för.

Så länge man håller sig till officiella appbutiker och avvisar uppmaningar att sidoinstallera appar från länkar, kommer NFC-radion i sig inte att räcka som ingång för trojanen.

Ads by MGDK