Secondo i dati telemetrici di Kaspersky, il numero di attacchi basati sulla tecnologia NFC contro gli smartphone Android, finalizzati al furto dei fondi delle vittime, è aumentato del 188% nei primi quattro mesi del 2026 rispetto allo stesso periodo del 2025.
Da gennaio ad aprile 2026, le soluzioni di sicurezza informatica di Kaspersky hanno bloccato 35.600 attacchi provenienti da diverse famiglie di malware Android che utilizzano tecniche NFC, tra cui SuperCard X, PhantomCard, NGate e altre varianti dannose dello strumento NFCGate. Nello stesso periodo del 2025, gli attacchi bloccati erano stati oltre 12.300. Secondo Kaspersky, gli utenti in Russia risultano essere i più esposti alle minacce mobili di tipo NFC relay. Tuttavia, gli esperti dell’azienda osservano che anche gli utenti di altre regioni, in particolare in America Latina ed Europa, sono sempre più colpiti da attacchi basati su NFC. Già alla fine del 2025, Kaspersky aveva previsto un aumento degli attacchi ai sistemi di pagamento NFC nel corso del 2026.
Attualmente esistono due principali modalità di attacco basate sulla tecnologia NFC:
NFC diretta. I truffatori contattano le vittime tramite applicazioni di messaggistica e, con il pretesto di verificarne l’identità, le inducono a scaricare un malware camuffato, ad esempio, da applicazione finanziaria. Successivamente, viene chiesto alle vittime di avvicinare la propria carta di credito a uno smartphone infetto e di inserire il PIN della carta. In questo modo, i dati della carta vengono trasmessi agli aggressori.
NFC inversa. I truffatori inviano agli utenti un’applicazione dannosa e, attraverso tecniche di social engineering, li convincono a impostarla come metodo di pagamento contactless predefinito sul proprio smartphone compromesso. L’applicazione genera quindi un segnale NFC che gli sportelli automatici riconoscono come la carta dei truffatori. Le vittime vengono indotte a recarsi presso uno sportello automatico e a depositare denaro su un presunto “conto sicuro” utilizzando il telefono infettato. In realtà, il denaro viene trasferito direttamente ai truffatori.
“Mentre in passato gli autori degli attacchi ricorrevano prevalentemente allo schema NFC diretto, oggi sembra prevalere quello NFC inverso”, ha commentato Sergey Golovanov, Chief Security Expert di Kaspersky. “Il pericolo di questo schema più recente e sofisticato risiede nel fatto che è più difficile da individuare e contrastare, poiché sono le stesse vittime a trasferire il denaro sui conti degli aggressori. Inoltre, tali transazioni risultano difficili da distinguere da quelle legittime. Non escludiamo che il malware relay NFC continui a evolversi e che l’area geografica degli attacchi si espanda ulteriormente. Per questo motivo, questa minaccia deve essere monitorata con maggiore attenzione”.
“I primi attacchi resi noti al pubblico che utilizzavano una versione modificata di uno strumento NFC legittimo si sono verificati alla fine del 2023 e sono stati rilevati principalmente in Europa. Successivamente, utenti in Russia e in altre regioni hanno subito attacchi simili tramite malware per dispositivi mobili. In seguito è emerso che i cybercriminali avevano integrato il modello malware-as-a-service (MaaS), semplificando potenzialmente l’accesso a questi strumenti dannosi da parte di altri aggressori. Le campagne di relay NFC dimostrano come gli autori delle minacce siano in grado di adattarsi e riutilizzare nuovi metodi per sottrarre denaro agli utenti”, ha aggiunto Dmitry Kalinin, Cybersecurity Expert di Kaspersky.
Per proteggersi dagli attacchi di tipo “relay” tramite NFC e da altre minacce mobili, Kaspersky consiglia di:
· Evitare di installare applicazioni provenienti da fonti non ufficiali. Ciò include i link inviati tramite app di messaggistica, social media, SMS o suggeriti durante una telefonata.
· Non seguire mai le istruzioni di sconosciuti presso un bancomat, indipendentemente da chi dichiarino di essere.
· Utilizzare una soluzione di sicurezza completa sul proprio smartphone Android per impedire l’accesso a siti di phishing tramite browser web e applicazioni di messaggistica, nonché per bloccare l’installazione di malware.
