Une cyberattaque ciblant plusieurs banques européennes
Une cyberattaque visant plusieurs banques européennes a été détectée depuis quelques mois. Repérée début 2026 par les chercheurs de d3Lab, cette opération repose sur un malware capable d’exploiter la technologie NFC des smartphones Android pour dérober les données bancaires des victimes.
Début 2026, d3Lab a identifié une fausse application Android sur Internet, se faisant passer pour l’application officielle de la Deutsche Bank, la principale banque allemande. Les investigations menées en janvier dernier indiquent que l’opération reste relativement ciblée. Les victimes téléchargent une application qui ressemble à celle de leur banque, sans se rendre compte qu’elles transmettent leurs coordonnées bancaires aux cybercriminels.
Quelles banques européennes sont visées ?
Au fil des mois, d3Lab a constaté que l’opération a pris de l’ampleur, touchant diverses banques européennes. Les attaquants adaptent leurs méthodes pour toucher un plus grand nombre de victimes et s’ajuster à différents marchés nationaux. Parmi les banques ciblées figurent Intesa Sanpaolo, Banca Sella, Fideuram, BCC Roma, Nexi, Mooney, Klirway, et CaixaBank. Aucune banque française n’est pour l’instant mentionnée parmi les cibles identifiées par les chercheurs, mais la situation pourrait évoluer.
Le malware NFCShare
Le malware, nommé NFCShare, exploite la puce NFC (Near Field Communication) présente dans les smartphones Android, permettant des paiements sans contact à très courte distance. Une fois l’application malveillante installée, elle incite l’utilisateur à « vérifier sa carte » ou à « sécuriser son accès » pour continuer à utiliser son compte. L’application frauduleuse demande ensuite à l’utilisateur de saisir son code PIN, qui est immédiatement enregistré et transmis aux attaquants.
Après cela, l’application invite la victime à rapprocher sa carte bancaire de l’arrière de son smartphone, imitant un paiement sans contact. Ce faisant, le malware peut lire toutes les informations de la carte via la puce NFC, se faisant passer pour un terminal de paiement légitime.
Une cyberattaque en constante évolution
Les méthodes de diffusion du malware évoluent également. Selon les chercheurs, les fichiers APK malveillants ne sont plus uniquement diffusés via des canaux clandestins, mais sont désormais hébergés sur des plateformes reconnues telles que GitHub. Parallèlement, les tactiques d’infection se sont sophistiquées. Les victimes sont dirigées vers des sites de phishing imitant leur banque, où elles sont incitées à télécharger une mise à jour de sécurité ou une nouvelle version de l’application bancaire.
Il est crucial de rappeler qu’aucune banque ne demande de télécharger une mise à jour Android via un lien reçu par SMS ou sur une page web externe. Si une application vous demande de rapprocher votre carte de votre smartphone pour une vérification, cela pourrait être un signe que vous êtes la cible d’un malware exploitant la technologie NFC.
Source
d3Lab
