Gli attacchi basati sulla tecnologia NFC contro gli smartphone Android sono cresciuti del 188% nei primi quattro mesi del 2026 rispetto allo stesso periodo del 2025. Il dato emerge dalle rilevazioni telemetriche di Kaspersky, secondo cui la minaccia riguarda in modo diretto i sistemi di pagamento contactless e punta al furto di denaro dalle vittime.
Tra gennaio e aprile 2026, le soluzioni di sicurezza della società hanno bloccato 35.600 attacchi riconducibili a diverse famiglie di malware Android capaci di sfruttare tecniche NFC. Tra queste figurano SuperCard X, PhantomCard, NGate e varianti dannose dello strumento NFCGate. Nei primi quattro mesi del 2025 gli attacchi bloccati erano stati oltre 12.300.
Una minaccia legata ai pagamenti contactless
Gli attacchi NFC relay sfruttano la tecnologia usata per i pagamenti contactless, trasformandola in un canale per intercettare o replicare operazioni fraudolente. Secondo Kaspersky, gli utenti in Russia risultano oggi i più esposti a questo tipo di minaccia mobile, ma gli episodi risultano in crescita anche in altre aree geografiche, in particolare in America Latina e in Europa.
La società aveva già indicato, alla fine del 2025, un possibile aumento degli attacchi ai sistemi di pagamento NFC nel corso del 2026. I dati dei primi mesi dell’anno confermano una pressione più alta su smartphone Android e strumenti di pagamento mobile.
Come funziona lo schema NFC diretto
Kaspersky distingue due principali modalità di attacco. La prima è quella definita NFC diretta. In questo schema, i truffatori contattano la vittima tramite applicazioni di messaggistica e, con il pretesto di una verifica dell’identità o di una procedura bancaria, la convincono a installare un’applicazione malevola mascherata da app finanziaria.
Dopo l’installazione, alla vittima viene chiesto di avvicinare la carta di pagamento allo smartphone infetto e di inserire il PIN. In questo modo, i dati della carta vengono trasmessi agli aggressori, che possono usarli per operazioni fraudolente o per replicare il comportamento della carta su altri dispositivi.
Lo schema NFC inverso e il ruolo del social engineering
La seconda modalità è indicata come NFC inversa. In questo caso, i cybercriminali inviano alla vittima un’app dannosa e la convincono a impostarla come metodo di pagamento contactless predefinito sullo smartphone compromesso.
L’app genera un segnale NFC che gli sportelli automatici riconoscono come se fosse la carta dei truffatori. La vittima viene poi spinta, attraverso tecniche di social engineering, a recarsi presso un bancomat e a depositare denaro su un presunto “conto sicuro”. In realtà, la somma viene trasferita direttamente ai criminali.
Perché gli attacchi sono difficili da individuare
Secondo Sergey Golovanov, Chief Security Expert di Kaspersky, in passato gli aggressori ricorrevano soprattutto allo schema NFC diretto, mentre oggi sembra prevalere quello NFC inverso. La difficoltà principale, secondo l’esperto, riguarda la distinzione tra operazioni legittime e transazioni fraudolente: in molti casi, infatti, è la stessa vittima a eseguire il trasferimento.
Questa caratteristica rende più complesso il rilevamento dell’attacco da parte degli istituti finanziari e delle piattaforme di sicurezza. Per Kaspersky, il malware NFC relay potrebbe evolvere ancora e raggiungere una diffusione geografica più ampia nei prossimi mesi.
Dai primi casi pubblici al modello malware-as-a-service
Dmitry Kalinin, Cybersecurity Expert di Kaspersky, ricorda che i primi attacchi resi noti al pubblico con versioni modificate di strumenti NFC legittimi risalgono alla fine del 2023 e sono stati rilevati soprattutto in Europa. In seguito, campagne simili hanno colpito utenti in Russia e in altre regioni.
Un ulteriore elemento di rischio riguarda l’integrazione di questi strumenti nel modello malware-as-a-service, che può facilitare l’accesso a tecniche di attacco anche da parte di gruppi criminali con competenze tecniche inferiori. Le campagne NFC relay mostrano così la capacità degli attori malevoli di adattare strumenti già disponibili a schemi di frode finanziaria più articolati.
Le misure di prevenzione consigliate
Per ridurre il rischio, Kaspersky consiglia di evitare l’installazione di applicazioni da fonti non ufficiali, soprattutto se il link arriva tramite app di messaggistica, social network, SMS o telefonate. Le app bancarie e finanziarie dovrebbero essere scaricate solo dagli store ufficiali e dai canali indicati direttamente dagli istituti di riferimento.
Un altro elemento importante riguarda il comportamento presso gli sportelli automatici. Gli utenti non dovrebbero mai seguire istruzioni ricevute da sconosciuti al telefono o via chat, anche quando l’interlocutore dichiara di parlare a nome di una banca, di un operatore antifrode o di un ente pubblico.
Per gli smartphone Android, resta utile l’adozione di una soluzione di sicurezza capace di bloccare siti di phishing, app dannose e tentativi di installazione di malware. La crescita degli attacchi NFC relay conferma che la protezione dei pagamenti mobili richiede attenzione sia sul piano tecnico sia su quello comportamentale.
Aiutaci a crescere: lasciaci un like :)