Un malware que aprovecha la confianza en apps bancarias para robar datos NFC
Una nueva versión del malware Android conocido como NFCShare está circulando en Europa disfrazada de aplicaciones bancarias legítimas. Su objetivo es capturar información sensible de tarjetas de pago mediante el chip NFC del teléfono, y la campaña ha escalado en alcance y sofisticación desde su detección inicial.
Detectado por primera vez a principios de 2026, NFCShare se hacía pasar por Deutsche Bank, usando una pantalla falsa para que la víctima acerque su tarjeta al teléfono y así extraer datos como número, tipo, etiqueta y fecha de vencimiento. Además, el malware roba el PIN antes de que el usuario note alguna anomalía.
Desde mayo de 2026, la amenaza se amplió para suplantar múltiples bancos italianos y europeos, incluyendo Intesa Sanpaolo, Banca Sella, Nexi, Mooney, BCC Roma y CaixaBank en España. Según análisis de d3Lab, aunque el método principal no cambió, la operación se volvió más dinámica y evasiva: rotan frecuentemente las marcas bancarias, actualizan rápidamente los APK maliciosos y los alojan en un repositorio público de GitHub disfrazado de proyecto escolar.
El engaño comienza con sitios web falsos que imitan portales bancarios reales. Tras ingresar credenciales, se indica al usuario descargar una falsa actualización de la app mediante un APK malicioso. En algunos casos, incluso se contacta a la víctima para facilitar la instalación desde fuentes desconocidas.
Los APK maliciosos llevan nombres similares a los oficiales, como Intesa Carte.apk o Nexi Carte.apk, y muestran una interfaz falsa de verificación de tarjeta dentro de una pantalla WebView. Al acercar la tarjeta, el malware usa el lector NFC para capturar la información y enviarla a un servidor controlado por el atacante, seguido del PIN en un mensaje separado.
Un aspecto relevante es el uso de GitHub como plataforma para distribuir el malware, con un repositorio que simula ser una app escolar y que incluye técnicas para dificultar el análisis automático, como rutas ZIP malformadas que provocan fallos en herramientas básicas.
Para quienes monitorean la seguridad, los indicadores clave están en el comportamiento combinado de WebView y NFC, la estructura anómala de los APK y ciertos marcadores internos del código. Se recomienda utilizar herramientas capaces de manejar archivos ZIP no estándar para detectar estas amenazas.
Reflexión para equipos IT y seguridad
Este caso muestra cómo los atacantes evolucionan sus métodos para aprovechar la confianza en apps bancarias y plataformas legítimas como GitHub. La rapidez en la rotación de marcas y la sofisticación en la entrega dificultan la detección y respuesta.
¿Tu organización cuenta con monitoreo especializado para detectar apps maliciosas que imitan servicios críticos? ¿Se revisan las fuentes de instalación y se educa a los usuarios sobre riesgos específicos como este?
