Zimperium公司旗下研究团队zLabs发现,数百款恶意应用正在滥用人性化设计,通过安卓近场通信(NFC)与主机卡模拟(HCE)功能窃取支付数据,将受感染手机变为支付欺诈的作案工具。
移动安全公司Zimperium最新调查显示,针对安卓用户非接触式支付系统的网络安全威胁正在全球快速蔓延。其研究团队追踪发现,这些恶意软件通过伪造合法应用的交互界面,诱导用户开启支付权限,使得攻击者无需物理接触即可实施金融犯罪。

恶意应用伪造的机构名单(图片来源:Zimperium)
蔓延全球的支付欺诈网络
自2024年4月以来,安全分析师已发现760余款专门拦截实时银行卡数据的恶意应用。虽然最初仅零星出现,现已发展为跨国犯罪网络,俄罗斯、波兰、捷克、斯洛伐克、巴西等多国均出现感染案例。Zimperium在题为《点击即盗:移动设备NFC中继恶意软件兴起》的报告中指出,随着网络犯罪分子针对移动支付系统寻找新的攻击途径,此类犯罪模式正呈现爆发式增长。
精心伪装的恶意应用
这些恶意应用往往伪装成银行系统升级或政府便民程序,仿造Google Pay、VTB银行、Santander银行及俄罗斯国家服务门户(Gosuslugi)等可信机构的界面设计。一旦安装,这些虚假应用会诱导用户将其设为默认支付方式,随后激活NFC中继功能,将卡片数据实时传输至攻击者控制的远程服务器,使得欺诈交易在数秒内完成。
高度组织化的犯罪生态
据Zimperium向Hackread.com提供的技术分析披露,该犯罪网络涉及70余个命令控制服务器和大量Telegram机器人,专门用于协调诈骗数据的流转与销赃。恶意软件的运作采用结构化指令通信:一台受感染设备负责采集支付数据,另一台设备则在实体终端完成交易。整个数据交换过程通过实时中继实现,攻击者无需接近受害者设备即可伪造合法的NFC支付流程。
技术特征与防护建议
研究人员指出,这些应用通过精心设计的网页视图展示逼真界面,显示真实金融机构标识与官方文案以获取用户信任。设备一旦被入侵,应用便会通过私有Telegram频道静默传输卡号、有效期及EMV芯片数据等敏感信息。与传统依赖覆盖层或短信拦截的银行木马不同,新一代恶意软件直接滥用安卓主机卡模拟功能充当虚拟支付卡,这种更直接的攻击方式可有效规避针对传统金融恶意软件的安全防护。
Zimperium移动威胁防御(MTD)和zDefend平台已成功识别并拦截多个NFC中继恶意软件家族。该公司建议用户加强对NFC权限和支付特权授权的管理。当前安卓用户最有效的防护措施包括:仅从官方应用商店下载程序、避免安装来源不明的第三方应用、及时更新移动安全软件,并对涉及支付权限的未知请求保持警惕。
