Väärennetty pankkisovelluksen päivitys GitHubissa varastaa maksukortin – näin NFCShare toimii
Ruutu pyytää viemään maksukortin puhelimen taakse ja näppäilemään PIN-koodin – muka varmistukseksi. Todellisuudessa rikolliset lukevat kortin tiedot NFC:n yli. Suomalaispankkeja ei vielä mainita, mutta sama toimitusketju pyörii jo Suomessa.
Tiivistelma
NFCShare-niminen Android-haittaohjelma leviää väärennettyinä pankkisovellusten päivityksinä GitHubissa ja varastaa korttitiedot sekä PIN-koodin NFC:n yli. Toistaiseksi kohteena ovat italialais- ja espanjalaispankit, mutta käytetyt esivaiheet ovat tuttuja jo Suomessa. NFC-välityshyökkäykset kasvoivat Euroopassa 188 prosenttia vuonna 2026.
Ruudulla lukee, että pankkisovelluksesi vaatii päivityksen. Linkki ei vie Play Storeen vaan GitHubiin, ja asennuksen jälkeen puhelin pyytää viemään maksukortin laitteen taakse korttisi vahvistamiseksi. Juuri näin toimii NFCShare, uusi Android-haittaohjelma, joka on noussut tietoturvatutkijoiden seurantaan tämän kevään aikana.
Italialainen tietoturvalaboratorio D3Lab dokumentoi haittaohjelman ensimmäisen kerran 29. tammikuuta 2026. Tutkija Andrea Draghetti, D3Labin uhka-analyytikko, kuvasi tällöin haittaohjelman, joka lukee maksukortin tiedot suoraan NFC-yhteyden yli.
– Uhrin ei tarvitse luovuttaa korttiaan kenellekään, sillä puhelin lukee sen tiedot suoraan NFC:n yli ja uudemmissa muunnoksissa välittää ne reaaliajassa rikollisille, Draghetti kuvaa.
BleepingComputer raportoi 8. kesäkuuta uudesta levitysaallosta, jossa haittaohjelmaa jaetaan GitHubin kautta. Tartuntatapa on oikeastaan vanha, mutta NFC-osuus tekee siitä uudenlaisen.
Toimitusketju alkaa kalastelusivulta. Sivu esiintyy aitona pankkina ja kerää uhrin tunnukset, minkä jälkeen se ilmoittaa, että pankkisovellus on päivitettävä. Uhri ohjataan GitHub-varastoon, joka tarjoaa haitallisen APK-tiedoston. Virallinen Play Store tai App Store ei ole missään vaiheessa mukana.
Yksi varasto luotiin 10. huhtikuuta. Kesäkuun 8. päivään mennessä se oli jakanut 56 erilaista väärennettyä pankki-APK:ta, ja tuoreimmat hyökkäykset alkoivat 14. toukokuuta. Uudemmat versiot käyttävät tarkoituksella rikottua APK-paketointia, jolla ne väistävät automaattista analyysiä.
Näin kortti varastetaan
Varkaus tapahtuu väärennetyllä kortin vahvistusruudulla. Se neuvoo uhria ottamaan NFC:n käyttöön ja pitämään maksukorttia puhelimen takaosaa vasten, minkä jälkeen pyydetään syöttämään PIN-koodi. Haittaohjelma lukee kortin Androidin ISO-DEP-rajapinnan kautta ja nappaa korttinumeron, korttityypin, voimassaoloajan ja PIN-koodin.
Vanhin tammikuun näyte luki kortin tiedot suoraan ja kloonasi ne myöhempää käyttöä varten. Uudemmissa muunnoksissa data myös välitetään reaaliaikaisesti. Tiedot tunneloidaan WebSocket-yhteyden yli rikollisille, jotka emuloivat korttia omalla puhelimellaan lähimaksuihin tai automaattinostoihin. Fyysistä korttia ei tarvita.
NFCShare ei ole yksittäinen tapaus. Se on sukua NGate-haittaohjelmalle, jonka ESET paljasti Tšekissä 2024, sekä SuperCard X- ja PhantomCard-perheille. D3Lab havaitsi koodissa kiinankielisiä merkkijonoja ja totesi haittaohjelman jakavan infrastruktuuria SuperCard X:n kanssa.
NFC-välityshyökkäys (NFC relay)
Haittaohjelma lukee maksukortin puhelimen NFC-lukijalla ja tunneloi tiedot reaaliajassa toiselle laitteelle. Rikollinen pitää omaa puhelintaan maksupäätettä vasten ja maksaa sinun kortillasi, vaikka kortti on yhä lompakossasi. Mitään ei tarvitse kloonata erikseen.
Suomalaispankit eivät ole listalla – vielä
Vahvistetut kohteet ovat italialais- ja espanjalaispankkeja: Intesa, Sella, Nexi, Fideuram ja CaixaBank. Alun perin kohteena oli Deutsche Bankin Italian-haara. Yhtäkään suomalaista tai pohjoismaista pankkia ei ole nimetty.
Tartuntatapa on silti tuttu. Kyberturvallisuuskeskus on varoittanut toistuvasti juuri näistä esivaiheista eli pankin nimissä tehtävästä kalastelusta ja tekstiviestitse levitettävistä Android-haittaohjelmista.
Kiskot ovat siis jo Suomessa, vaikka NFC-osaa ei täällä ole vielä nähty.
Uhkaluokka kasvaa nopeasti. Kaspersky kertoo, että NFC-välityshyökkäykset lisääntyivät 188 prosenttia vuonna 2026, ja yhtiö esti 35 600 NFC-haittaohjelman hyökkäystä Euroopassa tammi-huhtikuussa. Joukossa olivat SuperCard X, NGate ja PhantomCard.
Tunnistusmerkit
- Viesti väittää, että pankkisovelluksesi on päivitettävä heti.
- Linkki tai APK-tiedosto vie GitHubiin tai mille tahansa sivulle, joka ei ole virallinen Play Store.
- Ruutu pyytää viemään maksukortin puhelimen taakse ja syöttämään PIN-koodin kortin vahvistamiseksi.
Mitä tehdä
Asenna pankkisovellukset vain virallisesta Play Storesta tai pankkisi omilta sivuilta. Älä koskaan GitHubista, APK-linkistä tai päivityksestä, jota tarjotaan tekstiviestillä tai puhelinsoitolla.
Yksikään aito pankki ei pyydä viemään korttia puhelinta vasten ja syöttämään PIN-koodia sen vahvistamiseksi. Pidä NFC pois päältä silloin, kun et tarvitse sitä.
Jos epäilet tartuntaa, ota heti yhteys pankkiin korttien jäädyttämiseksi. Palauta puhelin tehdasasetuksiin ja ota käyttöön vain tartuntaa edeltänyt varmuuskopio. Tee rikosilmoitus poliisi.fi-palvelussa ja ilmoita tapauksesta osoitteeseen ilmoita.kyberturvallisuuskeskus.fi.
Miksi rikolliset näkevät tämän vaivan, kun kortin voisi yrittää kloonata muutenkin? Koska NFC-välitys ohittaa lähimaksun rajat ja antaa pääsyn PIN-suojattuihin nostoihin. Jää nähtäväksi, milloin suomalaispankit ilmestyvät kohdelistalle. Toistaiseksi paras suoja on yksinkertainen sääntö: korttia ei viedä puhelinta vasten kenenkään käskystä.