Cheval de Troie bancaire PhantomCard/NFCShare (Android)

Qu'est-ce que PhantomCard/NFCShare ?

PhantomCard et NFCShare sont deux noms attribués par des chercheurs pour désigner le même trojan bancaire Android, qui utilise des attaques par relais NFC pour voler les données des cartes de paiement sans contact et les codes PIN. ThreatFabric a nommé la version ciblant le Brésil PhantomCard ; D3Lab a nommé la version ciblant l'Italie NFCShare. Les deux sont des variantes régionales de la même famille chinoise de Malware-as-a-Service connue sous le nom de NFU Pay.

Cheval de Troie bancaire PhantomCard NFCShare - faux écran de vérification de carte NFC

Présentation du malware PhantomCard/NFCShare

PhantomCard/NFCShare repose sur des attaques par relais NFC. Une fois installée, l'application malveillante affiche un faux écran de vérification de carte invitant la victime à placer sa carte de paiement sans contact contre le dos de son téléphone. En arrière-plan, elle capture silencieusement les données de la carte via le lecteur NFC intégré à l'appareil.

Le faux écran imite un véritable contrôle de sécurité bancaire, guidant la victime à travers trois étapes : tenir la carte près du téléphone, attendre qu'elle soit détectée, puis saisir un code PIN. Les invites ressemblent étroitement aux flux de vérification bancaires réels, et de nombreuses victimes les suivent sans se douter de quoi que ce soit.

Une fois les données de la carte et le code PIN capturés, ils sont envoyés en temps réel via une connexion WebSocket vers des serveurs contrôlés par les attaquants. Un criminel situé à l'autre bout utilise une application compagnon pour émuler la carte de la victime sur son propre appareil.

Avec cette carte émulée, l'attaquant peut effectuer des paiements sans contact non autorisés sur des terminaux de point de vente ou retirer de l'argent aux distributeurs automatiques. La carte physique de la victime ne quitte jamais ses mains - pourtant, son argent peut être volé alors que la carte est encore à proximité.

Le malware est apparu dans deux campagnes régionales distinctes. Au Brésil, ThreatFabric l'a documenté sous le nom de PhantomCard, se faisant passer pour une application « Card Protection » distribuée via de fausses pages Google Play Store accompagnées d'avis d'utilisateurs fabriqués. En Italie, D3Lab l'a documenté sous le nom de NFCShare, diffusé via des sites de phishing usurpant l'identité de Deutsche Bank Italie, qui invitent les visiteurs à télécharger un fichier APK présenté comme une mise à jour de l'application bancaire.

En coulisses, les deux versions partagent la même base de code de relais NFC, la même interface utilisateur destinée aux victimes (traduite dans la langue locale) et une obfuscation de chaînes similaire. ThreatFabric attribue la plateforme à NFU Pay, une offre chinoise de Malware-as-a-Service qui permet aux opérateurs de créer des versions personnalisées ciblant des régions spécifiques avec leurs propres leurres bancaires.

Le malware cible les données des cartes de paiement EMV, et la version NFCShare utilise le chiffrement XOR via NPStringFog pour masquer l'adresse de son serveur aux outils de sécurité. Il contient également des chaînes de caractères intégrées en chinois, cohérentes avec le même kit d'outils.

Il convient de mentionner que les développeurs de malwares améliorent souvent leurs logiciels et leurs méthodologies, de sorte que les versions futures pourraient ajouter de nouvelles fonctionnalités. En résumé, la présence de PhantomCard/NFCShare sur un appareil peut entraîner de graves pertes financières, de sérieux problèmes de confidentialité et un vol d'identité.

Résumé De La Menace :
Nom	Maliciel bancaire PhantomCard/NFCShare
Type De Menace	Malware Android, application malveillante, cheval de Troie bancaire.
Noms De Détection	Avast-Mobile (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.SpyAgent.MI), ESET-NOD32 (Android/Spy.NGate.BZ Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.GhostNFC.e), Liste Complète (VirusTotal)
Symptômes	L'appareil fonctionne lentement, les paramètres du système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, la consommation de données et de batterie augmente considérablement, les navigateurs redirigent vers des sites web douteux, des publicités intrusives sont diffusées.
Méthodes De Distribution	Fausses pages Google Play Store, sites web de phishing usurpant l'identité d'institutions bancaires légitimes.
Dommages	Vol de données de carte de paiement (numéros de carte, dates d'expiration, codes PIN), transactions sans contact non autorisées, pertes financières, vol d'identité.
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Exemples de chevaux de Troie bancaires

Parmi les autres exemples de chevaux de Troie bancaires Android, on trouve Massiv, Sturnus et Klopatra. Comme PhantomCard/NFCShare, les menaces de ce type exploitent la confiance dans les interfaces bancaires familières pour effectuer des vols sans que la victime ne se rende compte que quelque chose ne va pas.

Quelle que soit la variante, le résultat final est le même : vol d'identifiants de paiement, transactions non autorisées et comptes vidés. Rester vigilant face aux demandes de téléchargement d'applications non officielles constitue l'une des défenses les plus efficaces.

Comment PhantomCard/NFCShare a-t-il infiltré mon appareil ?

PhantomCard/NFCShare atteint ses victimes par le biais de campagnes adaptées à des pays spécifiques. Au Brésil, il se propage via de fausses pages Google Play Store usurpant l'identité d'une application légitime, accompagnées d'avis d'utilisateurs fabriqués. Les victimes qui téléchargent et installent l'APK depuis ces pages accordent à leur insu au cheval de Troie l'accès au matériel NFC de leur appareil.

En Italie, le même malware est distribué via des sites de phishing imitant Deutsche Bank Italie. Ces sites poussent les visiteurs à télécharger un fichier APK présenté comme une mise à jour obligatoire de l'application bancaire, utilisant des tactiques de phishing pour imposer une installation non officielle en dehors de la boutique d'applications.

Les chevaux de Troie bancaires de ce type se propagent également via des liens dans des messages SMS, des publications sur les réseaux sociaux et des boutiques d'applications tierces. Toute application devant être téléchargée via un lien de navigateur plutôt que depuis le Google Play Store officiel devrait être traitée avec une grande méfiance.

Comment éviter l'installation de malwares ?

Ne téléchargez des applications qu'à partir du Google Play Store officiel ou directement depuis le site web vérifié de votre banque. Les banques légitimes ne demandent jamais à leurs clients d'installer des mises à jour d'applications en téléchargeant un fichier APK via un lien dans un SMS ou sur une page web non officielle.

Maintenez Android et toutes les applications installées à jour, et utilisez un outil de sécurité mobile réputé. Si une application vous demande de placer votre carte de paiement contre votre téléphone ou de saisir votre code PIN en dehors de l'application officielle de votre banque, arrêtez immédiatement et contactez votre banque via son numéro officiel pour signaler la demande.

Superposition de fausse vérification de carte NFC de PhantomCard (variante en portugais, ciblant le Brésil) :

Cheval de Troie bancaire PhantomCard - faux écran de vérification de carte NFC - variante en portugais ciblant le Brésil

Superposition de fausse vérification de carte NFC de NFCShare (variante en italien, ciblant l'Italie) :

Cheval de Troie bancaire NFCShare - faux écran de vérification de carte NFC - variante en italien ciblant l'Italie

Menu rapide :

Introduction
Comment supprimer l'historique de navigation du navigateur Chrome ?
Comment désactiver les notifications du navigateur Chrome ?
Comment réinitialiser le navigateur Chrome ?
Comment supprimer l'historique de navigation du navigateur Firefox ?
Comment désactiver les notifications du navigateur Firefox ?
Comment réinitialiser le navigateur Firefox ?
Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
Comment démarrer l'appareil Android en « Mode sans échec » ?
Comment vérifier l'utilisation de la batterie par les différentes applications ?
Comment vérifier l'utilisation des données par les différentes applications ?
Comment installer les dernières mises à jour logicielles ?
Comment réinitialiser le système à son état par défaut ?
Comment désactiver les applications disposant de privilèges administrateur ?

Supprimer l'historique de navigation du navigateur Chrome :

Suppression de l'historique de navigation de Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Suppression de l'historique de navigation de Chrome dans le système d'exploitation Android (étape 2)

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « PARAMÈTRES AVANCÉS », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur Chrome :

Désactivation des notifications du navigateur Chrome dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'ouvre.

Désactivation des notifications du navigateur Chrome dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à l'option « Paramètres des sites » et appuyez dessus. Faites défiler vers le bas jusqu'à l'option « Notifications » et appuyez dessus.

Désactivation des notifications du navigateur Chrome dans le système d'exploitation Android (étape 3)

Trouvez les sites web qui envoient des notifications de navigateur, appuyez dessus et cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites web pour envoyer des notifications. Cependant, si vous visitez à nouveau le même site, il pourrait demander une autorisation à nouveau. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web ira dans la section « Bloqué » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialiser le navigateur Chrome :

Réinitialisation du navigateur Chrome par défaut dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Applications » et appuyez dessus.

Réinitialisation du navigateur Chrome par défaut dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application « Chrome », sélectionnez-la et appuyez sur l'option « Stockage ».

Réinitialisation du navigateur Chrome par défaut dans le système d'exploitation Android (étape 3)

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur Firefox :

Suppression de l'historique de navigation de Firefox dans le système d'exploitation Android (étape 1)

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Suppression de l'historique de navigation de Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à « Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur « EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur Firefox :

Désactivation des notifications du navigateur Firefox dans le système d'exploitation Android (étape 1)

Visitez le site web qui envoie des notifications de navigateur, appuyez sur l'icône affichée à gauche de la barre d'URL (l'icône ne sera pas nécessairement un « Cadenas ») et sélectionnez « Modifier les paramètres du site ».

Désactivation des notifications du navigateur Firefox dans le système d'exploitation Android (étape 2)

Dans la fenêtre pop-up qui s'ouvre, activez l'option « Notifications » et appuyez sur « EFFACER ».

[Retour à la Table des Matières]

Réinitialiser le navigateur Firefox :

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Applications » et appuyez dessus.

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver l'application « Firefox », sélectionnez-la et appuyez sur l'option « Stockage ».

Réinitialisation du navigateur Firefox dans le système d'exploitation Android (étape 3)

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non définis par défaut et les autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstaller les applications potentiellement indésirables et/ou malveillantes :

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Applications » et appuyez dessus.

Suppression des applications indésirables/malveillantes du système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à trouver une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, un message d'erreur s'affiche), vous devriez essayer d'utiliser le « Mode sans échec ».

[Retour à la Table des Matières]

Démarrer l'appareil Android en « Mode sans échec » :

Le « Mode sans échec » du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne « normalement »).

Démarrage de l'appareil Android en Mode sans échec

Appuyez sur le bouton « Marche/Arrêt » et maintenez-le enfoncé jusqu'à ce que l'écran « Éteindre » apparaisse. Appuyez sur l'icône « Éteindre » et maintenez-la enfoncée. Après quelques secondes, l'option « Mode sans échec » apparaîtra et vous pourrez l'activer en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifier l'utilisation de la batterie par les différentes applications :

Vérification de l'utilisation de la batterie par les différentes applications dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Maintenance de l'appareil » et appuyez dessus.

Vérification de l'utilisation de la batterie par les différentes applications dans le système d'exploitation Android (étape 2)

Appuyez sur « Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour utiliser le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifier l'utilisation des données par les différentes applications :

Vérification de l'utilisation des données par les différentes applications dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Connexions » et appuyez dessus.

Vérification de l'utilisation des données par les différentes applications dans le système d'exploitation Android (étape 2)

Faites défiler vers le bas jusqu'à « Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation importante des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. Pour cette raison, vous devriez vérifier l'utilisation des données mobiles et Wi-Fi.

Vérification de l'utilisation des données par les différentes applications dans le système d'exploitation Android (étape 3)

Si vous trouvez une application qui consomme beaucoup de données alors que vous ne l'utilisez jamais, nous vous conseillons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installer les dernières mises à jour logicielles :

Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient continuellement divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bugs qui peuvent être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devriez toujours vous assurer que le logiciel de votre appareil est à jour.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Mise à jour du logiciel » et appuyez dessus.

Installation des mises à jour logicielles dans le système d'exploitation Android (étape 2)

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » - cela permettra au système de vous notifier lorsqu'une mise à jour est disponible et/ou de l'installer automatiquement.

[Retour à la Table des Matières]

Réinitialiser le système à son état par défaut :

Effectuer une « Réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres du système par défaut et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données de l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, pas dans la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Réinitialisation du système d'exploitation Android à son état par défaut (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « À propos du téléphone » et appuyez dessus.

Réinitialisation du système d'exploitation Android à son état par défaut (étape 2)

Faites défiler vers le bas jusqu'à « Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
« Réinitialiser les paramètres » - restaurer tous les paramètres du système par défaut ;
« Réinitialiser les paramètres réseau » - restaurer tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » - réinitialiser l'ensemble du système et supprimer complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactiver les applications disposant de privilèges administrateur :

Si une application malveillante obtient des privilèges de niveau administrateur, elle peut sérieusement endommager le système. Pour garder l'appareil aussi sûr que possible, vous devriez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.

Désactivation des applications Android disposant de privilèges administrateur (étape 1)

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Écran de verrouillage et sécurité » et appuyez dessus.

Désactivation des applications Android disposant de privilèges administrateur (étape 2)

Faites défiler vers le bas jusqu'à « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications admin. appareil ».

Désactivation des applications Android disposant de privilèges administrateur (étape 3)

Identifiez les applications qui ne devraient pas avoir de privilèges administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».

Foire aux questions (FAQ)

Mon appareil Android est infecté par PhantomCard/NFCShare, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage de votre périphérique de stockage n'est généralement pas nécessaire pour supprimer PhantomCard/NFCShare. L'exécution d'une application antivirus mobile réputée telle que Combo Cleaner devrait suffire à détecter et éliminer le malware sans effacer votre appareil.

Quels sont les plus grands problèmes que PhantomCard/NFCShare peut causer ?

Le risque le plus direct est le vol financier. Le malware capture les données des cartes de paiement sans contact et les codes PIN en temps réel, permettant aux attaquants d'effectuer des achats ou des retraits aux distributeurs automatiques à l'aide d'une copie émulée de la carte de la victime. Les victimes ne se rendent souvent pas compte que quelque chose ne va pas jusqu'à ce que des frais non autorisés apparaissent sur leur relevé bancaire.

PhantomCard/NFCShare peut-il voler de l'argent sur ma carte de paiement sans contact sans que je m'en aperçoive ?

Oui. Le malware incite les victimes à placer leur carte de paiement contre le téléphone et à saisir un code PIN via un faux écran de vérification. Les données capturées sont relayées instantanément aux attaquants, qui émulent la carte sur leur propre appareil et l'utilisent pour des paiements sans contact ou des retraits aux distributeurs automatiques - le tout sans jamais posséder physiquement la carte.

Comment PhantomCard/NFCShare a-t-il infiltré mon appareil Android ?

PhantomCard/NFCShare est distribué via des campagnes adaptées à des régions spécifiques : de fausses pages Google Play Store au Brésil et des sites de phishing usurpant l'identité de Deutsche Bank en Italie. Les deux versions s'appuient sur l'ingénierie sociale pour convaincre les utilisateurs d'installer un fichier APK non officiel en dehors de la boutique d'applications officielle.

Combo Cleaner me protégera-t-il contre les malwares ?

Combo Cleaner est capable de détecter et d'éliminer la quasi-totalité des infections par malwares connues. N'oubliez pas qu'il est essentiel d'effectuer une analyse complète du système, car les programmes malveillants sophistiqués se cachent généralement en profondeur dans le système.