NFCShare evolves: from a banking phishing APK to a GitHub-hosted Android NFC fraud campaign

,

In January 2026, we analyzed NFCShare, an Android banking trojan distributed as a malicious APK through a phishing flow impersonating Deutsche Bank. The malware presented a fake card-verification interface, asked the victim to place a payment card near the phone, collected the card PIN, and exfiltrated NFC-derived payment-card data to a WebSocket endpoint.

Since 14 May 2026, we have observed a newer wave of NFCShare APKs impersonating Italian and European banking brands. The campaign we investigated started from an ad hoc phishing website, areaclienti-intesa.com, which mimicked the look and feel of Intesa Sanpaolo. After the victim entered home-banking credentials, the phishing flow prompted the user to update the banking application. At that point, the website visually directed the victim to a shortened URL, such as https://tinyurl[.]com/Intesa-Carte, which then redirected toward APKs hosted in the GitHub repository antoniocastaldo1998/app-scuola.

The newer samples are still NFCShare. The core NFC and exfiltration logic remains largely unchanged. The relevant evolution is operational and anti-analysis oriented: more frequent APK rebuilds, brand rotation, a new C2 endpoint, a 10-DEX layout, and malformed ZIP paths designed to break naive APK extractors.

Continua a leggere
/da

B1ack’s Stash Releases 4.6 Million Payment Cards: Web Skimming Leak Analysis

On May 18, 2026, the criminal marketplace B1ack’s Stash published a new archive containing millions of compromised payment cards on a well-known underground forum. The release had an explicitly promotional purpose: driving traffic to the illegal market, reinforcing its reputation within the carding ecosystem, and, according to the threat actor’s own narrative, punishing sellers accused of reselling the same cards elsewhere.

In the announcement, the threat actor claimed to have “suspended” almost 8 million CVV2 cards and made them available for free in the marketplace’s freebies section. The download link, distributed through Exploit.in’s Send platform, was limited to 1,000 downloads or 30 days.

Continua a leggere
/da

Non è beneficenza, è furto d’identità: i retroscena del clone Caritas intercettato da D3Lab

,

Il Threat Intelligence Team di D3Lab, grazie al servizio di Brand Monitor ha intercettato un pericoloso clone malevolo che punta a truffare i cittadini proponendosi come la Caritas Italiana. Nel panorama del cybercrime, si tratta di una delle tattiche più spregevoli: lo sciacallaggio digitale, ovvero lo sfruttamento della fiducia riposta in istituzioni caritatevoli per colpire le fasce più vulnerabili della popolazione.

La Caritas Italiana è l’organismo pastorale della Conferenza Episcopale Italiana (CEI) che promuove la testimonianza della carità, sostenendo e coordinando oltre 200 Caritas diocesane. Si dedica ad aiutare i poveri e gli emarginati, promuovere il volontariato, sensibilizzare la comunità sui bisogni sociali e intervenire in emergenze nazionali e internazionale.

Continua a leggere
/1 Commento/da

BreachForums Data Leaks: Technical Analysis and Timeline Attribution (2022–2026)

Introduction

Over the past few years, multiple data leaks attributed to BreachForums have been publicly released, often associated with different domains used by the platform over time (.vc, .co, .hn, .bf).

However, many sources tend to conflate these datasets, creating confusion between:

  • the publication date of the leak
  • the actual time period the data refers to
  • the infrastructure (domain) active at the time of data collection

This article provides a technical and evidence-based reconstruction, aimed at Cyber Threat Intelligence and OSINT analysts, clearly distinguishing between leak publication and actual data timelines.

Continua a leggere
/7 Commenti/da

Falsa email su ChatGPT: nuova campagna di phishing in Italia ruba dati delle carte e codici OTP

I ricercatori di D3Lab hanno rilevato una nuova campagna di phishing che sfrutta il brand ChatGPT, servizio sviluppato da OpenAI, per sottrarre dati di carte di pagamento e codici di sicurezza agli utenti italiani.

Si tratta della prima campagna in lingua italiana osservata da D3Lab che utilizza questo pretesto, segnale di come i criminali stiano rapidamente adattando le proprie strategie all’evoluzione dei servizi digitali più diffusi.

Continua a leggere
/1 Commento/da

Phishing EasyPark: il brand sfruttato per sottrarre dati di pagamento e documenti di identità

Negli ultimi giorni i Threat Intelligence Team di D3Lab hanno rilevato diverse campagne di phishing che sfruttano illecitamente il brand EasyPark, nota applicazione per il pagamento e la gestione della sosta tramite smartphone, disponibile in oltre 20 Paesi.

Le campagne non colpiscono l’infrastruttura del servizio, ma utilizzano il marchio EasyPark per truffare gli utenti, inducendoli a fornire dati di pagamento e informazioni personali sensibili.

Continua a leggere
/1 Commento/da

Falso concorso su WhatsApp: come funziona il furto dell’account

Negli ultimi mesi si sta diffondendo in Italia una campagna di phishing che sfrutta un meccanismo tanto semplice quanto efficace: la fiducia tra contatti WhatsApp. Il messaggio è apparentemente innocuo e chiede di votare per la figlia o la nipote di un amico impegnata in un concorso di danza. In realtà, l’obiettivo non è raccogliere voti, ma ottenere accesso completo all’account della vittima.

Il fenomeno è stato segnalato dalla Polizia di Stato e dal Commissariato di PS Online, con una diffusione nazionale documentata anche da diverse testate giornalistiche. Non si tratta di un episodio isolato, ma di una campagna strutturata che sfrutta dinamiche di propagazione virale basate sulla rete di relazioni personali.

Continua a leggere
/da

A “Safe Browsing Blocker” in a Phishing Kit: Technical Analysis and Why It Fails

In February 2026, the D3Lab Anti‑Fraud Team analyzed a phishing kit that embedded a JavaScript file named ss1.js. The script, branded SafeBrowsingBlocker, attempts to prevent Google Safe Browsing checks by blocking network requests to Google Safe Browsing domains and disabling browser prefetching/prerendering mechanisms.

Our technical analysis shows that this approach is largely ineffective against browser‑level Safe Browsing interstitials, which are decided before any page JavaScript executes. The script’s primary effect is limited to blocking page‑initiated requests (e.g., fetch, XHR, sendBeacon) and adding a restrictive CSP that can break legitimate resources.

This post details how the script works, why it cannot bypass Safe Browsing, and provides IoCs for detection.

Continua a leggere
/da

Olimpiadi Invernali 2026: mappatura degli attacchi cyber della settimana inaugurale

Il 6 febbraio 2026 si sono ufficialmente aperte le Olimpiadi Invernali di Milano-Cortina.

Già dal 4 febbraio, tuttavia, diversi gruppi hacktivisti avevano iniziato a rivendicare attacchi contro siti istituzionali, infrastrutture pubbliche e organizzazioni italiane, utilizzando l’evento olimpico come leva mediatica.

In pochi giorni si è osservata una convergenza di attori con motivazioni geopolitiche differenti, accomunati da un hashtag ricorrente: #OpItaly.

Di seguito un riepilogo delle principali attività rilevate e monitorate.

Continua a leggere
/da

NFCShare Android Trojan: NFC card data theft via malicious APK

Executive Summary

The D3Lab team analyzed an Android application distributed through a Deutsche Bank phishing campaign. Victims are prompted to enter their phone number, then instructed to “update” their banking app by downloading a malicious APK named deutsche.apk. The APK presents itself as “Support Nexi” and guides the user through a fake “card verification” flow: bring the card near the phone, keep it close while “authenticating,” and enter the card PIN. Under the hood, the app reads NFC card data (ISO‑DEP) and exfiltrates it to a remote WebSocket endpoint.

Based on consistent internal artifacts (package naming, classes, messages, and UI flow), we assign this new cluster the family name NFCShare.

Distribution: Deutsche Bank phishing flow

The infection chain starts with a bank‑themed phishing site mimicking Italian Deutsche Bank. The victim is asked for a mobile number and then told to update the bank app. The “update” is delivered as an APK (deutsche.apk). After installation, the app claims to be “Support Nexi” and drives the user through a fake security verification designed to harvest NFC card data and the card PIN.

Continua a leggere
/25 Commenti/da
D3Lab Srl unipersonale – P.IVA IT01865450496 – Italy – Phone: +3905861946434