Gli attacchi NFC contro gli smartphone Android stanno diventando una delle minacce più insidiose del momento, e i numeri raccontano una crescita che fa riflettere. Nei primi quattro mesi del 2026 gli attacchi cosiddetti relay sfruttando la tecnologia NFC sono cresciuti del 188% rispetto allo stesso periodo del 2025. Un balzo enorme, che conferma quanto i cybercriminali abbiano fiutato nel contactless un terreno fertile per svuotare i conti delle vittime.
I dati parlano chiaro: tra gennaio e aprile 2026 sono stati bloccati oltre 35.600 attacchi, contro i circa 12.300 registrati nello stesso arco di tempo dell’anno precedente. Dietro queste campagne malevole girano diverse famiglie di malware Android, da SuperCard X a PhantomCard, passando per NGate e varianti dannose dello strumento NFCGate. Insomma, non si tratta di episodi isolati, ma di un fenomeno strutturato che sta prendendo piede ovunque.
Come funzionano gli attacchi NFC relay
La tecnologia NFC, quella che usiamo tutti i giorni per i pagamenti contactless e per scambiare dati al volo tra dispositivi, si è trasformata in un bersaglio ghiotto. Gli attacchi relay permettono di intercettare o manipolare le comunicazioni che avvengono tra smartphone, carte bancarie e terminali di pagamento. E oggi esistono sostanzialmente due modi di agire.
Il primo si chiama NFC diretta. Qui i criminali contattano le vittime tramite app di messaggistica o social network, fingendo controlli bancari o verifiche di sicurezza, e le convincono a installare un’app malevola travestita da software finanziario. Una volta che il dispositivo è infetto, la vittima viene invitata ad avvicinare la propria carta allo smartphone e a digitare il PIN. A quel punto i dati della carta finiscono dritti agli aggressori, pronti per essere usati in operazioni fraudolente.
Più recente e decisamente più subdolo è invece lo schema della NFC inversa. In questo caso gli utenti vengono convinti a impostare un’app dannosa come metodo di pagamento contactless predefinito sul telefono ormai compromesso. L’app genera un segnale NFC che gli sportelli ATM interpretano come una carta bancaria legittima, ovviamente appartenente ai truffatori. La vittima viene spinta a recarsi a un bancomat e a versare denaro su un fantomatico “conto sicuro”. Peccato che quei soldi finiscano direttamente nelle tasche dei cybercriminali.
Secondo Sergey Golovanov è proprio questo il modello più pericoloso del momento, perché le operazioni risultano quasi indistinguibili da normali transazioni autorizzate. “Il pericolo di questo schema più recente e sofisticato risiede nel fatto che è più difficile da individuare e contrastare, poiché sono le stesse vittime a trasferire il denaro sui conti degli aggressori”, ha spiegato.
Dove colpiscono e come difendersi
Al momento gli utenti in Russia restano i più esposti a questo tipo di attacchi, ma il fenomeno si sta allargando anche altrove, in particolare in Europa e America Latina. I primi casi pubblici risalgono alla fine del 2023, sempre in Europa, quando i criminali sfruttavano versioni modificate di strumenti NFC legittimi. Da allora le tecniche si sono affinate parecchio, anche grazie ai modelli malware-as-a-service, che permettono pure a gruppi meno esperti di mettere le mani su strumenti dannosi belli e pronti.
Per Dmitry Kalinin questa crescita degli attacchi relay dimostra quanto velocemente gli attori malevoli sappiano adattarsi alle nuove tecnologie di pagamento digitale. E qualche accortezza, fortunatamente, può fare la differenza. Tra i consigli ci sono alcune regole di buon senso: evitare di installare applicazioni da fonti non ufficiali, non cliccare sui link ricevuti via SMS, social o app di messaggistica, diffidare delle istruzioni telefoniche ricevute da sconosciuti, soprattutto vicino a uno sportello ATM, e tenere sempre aggiornato un buon software di sicurezza mobile capace di bloccare malware e tentativi di phishing.