Allerta Sicurezza: NFCShare, il Malware che Clona le Carte di Pagamento tramite Smartphone

Ci fidiamo del telefono come di un portafoglio: lo sfioriamo al POS, lo usiamo per entrare in ufficio, lo appoggiamo sul comodino. Ma proprio in quella calma di gesti ripetuti si infila una minaccia sottile, che parla la lingua della comodità e prende le forme di un’app “utile”.

Il cuore della questione

Il cuore della questione è semplice. I nostri pagamenti contactless passano dal chip NFC. È una tecnologia comoda e vicina, letteralmente: pochi centimetri, un bip, fine. In Europa, più della metà delle transazioni con carta al POS è ormai contactless, secondo le statistiche pubbliche della banca centrale. Dove c’è abitudine, lì sboccia l’azzardo: qualcuno ha capito che è più facile attaccare l’utente che il sistema.

Il ruolo di NFCShare

Qui entra in scena un nome che gira da tempo tra gli analisti: NFCShare. Non è una leggenda metropolitana. Parliamo di malware che gioca sull’equivoco. Non forza casseforti, ma chiede le chiavi con cortesia. Sfrutta l’NFC del tuo smartphone e si traveste da strumento legittimo, con promesse di backup rapidi, condivisione smart, gestione di badge. Ti invita a “tappare” la carta o il pass, come faresti con qualsiasi app pratica.

La trappola

La trappola, però, non sta nel gesto. Sta nel contesto: canali di distribuzione ambigui, descrizioni furbe, recensioni fotocopia. E una novità che ha fatto drizzare molte antenne: copie “pulite” di app open source che, da qualche parte nel percorso, diventano “altro”. Capita su piattaforme popolari come GitHub: repository imitati, fork sospetti, build preconfezionate. Non è una colpa della piattaforma in sé, ma della fiducia pigra con cui a volte scarichiamo.

Come agisce la nuova variante

A metà della storia si capisce il trucco. La nuova variante di NFCShare punta alla raccolta dei dati che servono a “provare” un pagamento online: numero della carta, scadenza, talvolta nome dell’intestatario. Non parliamo del PIN, né del chip crittografico: quelli non si clonano così. Le carte EMV generano codici dinamici al POS, e i wallet seri usano token, non il numero vero. Il bersaglio è altrove: carpire dati statici e riutilizzarli per acquisti su siti dove l’attrito è basso.

Il metodo di attacco

Come ci riesce? In alto livello, due mosse. La prima è sociale: una app fasulla che richiede permessi NFC, suggerisce funzioni di “verifica carta” o “importa pass” e ti guida a poggiare la tessera al telefono. La seconda è tecnica ma banale: legge le informazioni base disponibili via NFC e le invia a un server. Non c’è magia, c’è routine. E c’è l’illusione che “se sta su GitHub, allora è sicuro”. Non sempre è così.

Come difendersi senza diventare paranoici

Usa solo store ufficiali e controlla l’autore. Su Android, attiva Play Protect e tieni gli aggiornamenti di sicurezza al giorno. Nel 2023 Google ha bloccato oltre 2 milioni di app malevole: la rete di protezione funziona se la lasci lavorare.

Diffida delle app che chiedono NFC senza motivo. Un gestore note non deve “leggere carte”.

Evita APK trovati in giro. Se proprio usi GitHub, compila tu da sorgente, verifica firme, leggi le issue.

Attiva alert istantanei della banca. Limiti di spesa bassi sulle carte usate online e 3D Secure sempre attivo riducono i danni.

Preferisci wallet ufficiali e carte virtuali per gli acquisti su siti nuovi.

Disattiva l’NFC quando non ti serve. È un interruttore, non una bandiera.

La sicurezza non è un muro, è una postura

C’è poi una verità scomoda ma liberante: la sicurezza non è un muro, è una postura. Nessuno chiede di tornare al contante. Si chiede di riconoscere il travestimento quando lo vedi. La prossima volta che un’app ti propone di “condividere” qualcosa di sensibile in un tocco, fermati un respiro prima. Quel secondo di pazienza è già una forma di protezione. E forse è anche il modo migliore di ricordarci che la tecnologia è nostra alleata solo se restiamo noi a guidarla.