Một chiến dịch phát tán mã độc Android mới đang khiến giới an ninh mạng châu Âu lo ngại khi lợi dụng công nghệ NFC trên điện thoại để đánh cắp dữ liệu thẻ thanh toán và mã PIN của người dùng. Đáng chú ý, mã độc này liên tục giả mạo các ứng dụng ngân hàng nổi tiếng, khiến nạn nhân rất khó nhận ra mình đang bị lừa.
Theo các nhà nghiên cứu bảo mật, mã độc có tên NFCShare đang được sử dụng trong một chiến dịch tấn công có tổ chức, nhắm vào khách hàng của nhiều ngân hàng tại châu Âu. Sau khi xuất hiện lần đầu vào tháng 1/2026 dưới vỏ bọc ứng dụng của Deutsche Bank, chiến dịch hiện đã mở rộng sang hàng loạt thương hiệu tài chính tại Đức, Ý và Tây Ban Nha.
Theo các nhà nghiên cứu bảo mật, mã độc có tên NFCShare đang được sử dụng trong một chiến dịch tấn công có tổ chức, nhắm vào khách hàng của nhiều ngân hàng tại châu Âu. Sau khi xuất hiện lần đầu vào tháng 1/2026 dưới vỏ bọc ứng dụng của Deutsche Bank, chiến dịch hiện đã mở rộng sang hàng loạt thương hiệu tài chính tại Đức, Ý và Tây Ban Nha.
Mạo danh ngân hàng để phát tán mã độc
Kịch bản tấn công thường bắt đầu từ các trang web lừa đảo được thiết kế giống hệt cổng thông tin chính thức của ngân hàng.
Khi người dùng truy cập và nhập thông tin đăng nhập, trang web sẽ thông báo rằng ứng dụng ngân hàng cần được cập nhật. Nạn nhân sau đó được yêu cầu tải xuống một tệp APK giả mạo có tên gần giống ứng dụng chính thức.
Một số trường hợp, kẻ tấn công còn chủ động gọi điện hoặc gửi tin nhắn SMS, giả danh nhân viên ngân hàng để hướng dẫn người dùng cài đặt ứng dụng từ nguồn không xác định. Các ứng dụng giả mạo được ghi nhận có tên như:
Khi người dùng truy cập và nhập thông tin đăng nhập, trang web sẽ thông báo rằng ứng dụng ngân hàng cần được cập nhật. Nạn nhân sau đó được yêu cầu tải xuống một tệp APK giả mạo có tên gần giống ứng dụng chính thức.
Một số trường hợp, kẻ tấn công còn chủ động gọi điện hoặc gửi tin nhắn SMS, giả danh nhân viên ngân hàng để hướng dẫn người dùng cài đặt ứng dụng từ nguồn không xác định. Các ứng dụng giả mạo được ghi nhận có tên như:
- Intesa Carte.apk
- Sella Carte.apk
- Klirway Carte.apk
- Nexi Carte.apk
- CaixaBank.apk
Sau khi được cài đặt, các ứng dụng này hiển thị giao diện xác minh thẻ ngân hàng trông hoàn toàn hợp pháp, khiến người dùng tin rằng họ đang thực hiện một quy trình bảo mật thông thường.
Đánh cắp dữ liệu thẻ chỉ bằng công nghệ NFC
Điểm nguy hiểm nhất của NFCShare nằm ở khả năng lợi dụng chip NFC tích hợp trên điện thoại Android. Sau khi nạn nhân mở ứng dụng giả mạo, hệ thống sẽ yêu cầu nhập mã PIN và đặt thẻ thanh toán gần điện thoại để "xác thực tài khoản" hoặc "kiểm tra bảo mật".
Thực tế, đây là lúc mã độc âm thầm sử dụng giao thức EMV tiêu chuẩn để đọc dữ liệu từ thẻ thanh toán thông qua NFC. Các thông tin bị đánh cắp bao gồm:
Thực tế, đây là lúc mã độc âm thầm sử dụng giao thức EMV tiêu chuẩn để đọc dữ liệu từ thẻ thanh toán thông qua NFC. Các thông tin bị đánh cắp bao gồm:
- Số thẻ thanh toán
- Loại thẻ
- Dữ liệu nhận dạng thẻ
- Ngày hết hạn
- Mã PIN do người dùng nhập
Toàn bộ dữ liệu sau đó được gửi về máy chủ điều khiển của kẻ tấn công thông qua kết nối WebSocket. Với các thông tin này, tội phạm mạng có thể thực hiện nhiều hình thức gian lận tài chính hoặc sử dụng trong các chiến dịch tấn công tiếp theo.
GitHub bị lợi dụng để phát tán mã độc
Theo các nhà nghiên cứu của d3Lab, nhóm đứng sau chiến dịch đang hoạt động ngày càng chuyên nghiệp hơn. Thay vì sử dụng hạ tầng riêng, các tệp APK độc hại được lưu trữ trên những kho lưu trữ GitHub công khai được ngụy trang thành dự án học tập hoặc phần mềm giáo dục.
Một kho lưu trữ có tên "app-scuola" (ứng dụng trường học) được phát hiện chứa hàng chục tệp APK độc hại khác nhau. Đến đầu tháng 6/2026, kho này đã ghi nhận 57 lần cập nhật và chứa 56 biến thể mã độc riêng biệt.
Việc sử dụng nền tảng phổ biến như GitHub giúp kẻ tấn công tránh bị nghi ngờ và khiến các hệ thống lọc nội dung khó phát hiện hơn.
Một kho lưu trữ có tên "app-scuola" (ứng dụng trường học) được phát hiện chứa hàng chục tệp APK độc hại khác nhau. Đến đầu tháng 6/2026, kho này đã ghi nhận 57 lần cập nhật và chứa 56 biến thể mã độc riêng biệt.
Việc sử dụng nền tảng phổ biến như GitHub giúp kẻ tấn công tránh bị nghi ngờ và khiến các hệ thống lọc nội dung khó phát hiện hơn.
Mã độc ngày càng khó bị phân tích
Phiên bản mới của NFCShare còn được trang bị các kỹ thuật chống phân tích nhằm gây khó khăn cho chuyên gia bảo mật. Các tệp APK được chèn những cấu trúc ZIP bất thường khiến nhiều công cụ giải nén hoặc phân tích tự động bị lỗi. Mục đích là làm chậm quá trình nghiên cứu, kéo dài thời gian tồn tại của chiến dịch trước khi bị phát hiện.
Theo các nhà nghiên cứu, đây là dấu hiệu cho thấy nhóm vận hành NFCShare đang đầu tư đáng kể vào việc phát triển và duy trì mã độc thay vì chỉ thực hiện các chiến dịch ngắn hạn như trước đây.
Người dùng cần làm gì để tự bảo vệ mình?
Các chuyên gia khuyến cáo người dùng tuyệt đối không tải ứng dụng ngân hàng từ các đường link nhận qua SMS, email hoặc các trang web lạ. Ứng dụng ngân hàng chỉ nên được tải từ Google Play hoặc nguồn chính thức do ngân hàng cung cấp.
Ngoài ra, người dùng cần đặc biệt cảnh giác nếu được yêu cầu đặt thẻ thanh toán gần điện thoại hoặc nhập mã PIN ngoài ứng dụng chính thức của ngân hàng. Trong trường hợp nghi ngờ đã cài đặt ứng dụng giả mạo, người dùng nên ngay lập tức gỡ bỏ ứng dụng, khóa thẻ thanh toán và liên hệ với ngân hàng để được hỗ trợ.
Sự xuất hiện của NFCShare cho thấy tội phạm mạng đang ngày càng khai thác sâu hơn các tính năng có sẵn trên điện thoại thông minh để đánh cắp dữ liệu tài chính. Chỉ một thao tác cài đặt nhầm ứng dụng hoặc làm theo hướng dẫn từ một cuộc gọi giả mạo cũng có thể khiến người dùng mất quyền kiểm soát đối với thẻ ngân hàng và các tài khoản liên quan.
Ngoài ra, người dùng cần đặc biệt cảnh giác nếu được yêu cầu đặt thẻ thanh toán gần điện thoại hoặc nhập mã PIN ngoài ứng dụng chính thức của ngân hàng. Trong trường hợp nghi ngờ đã cài đặt ứng dụng giả mạo, người dùng nên ngay lập tức gỡ bỏ ứng dụng, khóa thẻ thanh toán và liên hệ với ngân hàng để được hỗ trợ.
Sự xuất hiện của NFCShare cho thấy tội phạm mạng đang ngày càng khai thác sâu hơn các tính năng có sẵn trên điện thoại thông minh để đánh cắp dữ liệu tài chính. Chỉ một thao tác cài đặt nhầm ứng dụng hoặc làm theo hướng dẫn từ một cuộc gọi giả mạo cũng có thể khiến người dùng mất quyền kiểm soát đối với thẻ ngân hàng và các tài khoản liên quan.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
