10月31日,安全研究人员披露一起新型金融安全威胁:一种利用NFC技术的恶意软件正在东欧地区快速扩散。在过去几个月里,研究人员已发现超过760款利用该技术窃取用户信用卡信息的恶意安卓应用。
与传统的覆盖层窃取凭证的银行木马不同,这类NFC恶意软件利用了安卓系统的HCE功能,即基于主机的卡模拟技术。这项技术通过软件或云端替代传统安全模块,实现了非接触式支付的功能模拟。

这些恶意软件通过捕获EMV支付数据字段,使用攻击者控制的回复响应POS终端的APDU指令,或将终端请求转发至远程服务器,由服务器生成的APDU回复,使得终端在启用支付时无需实体卡在场即可完成交易。
该攻击技术最初于2024年在波兰被发现,随着时间推移,现已出现多个变种并采用了不同的实施手法。

这些恶意应用通常伪装成Google Pay或各大金融机构的最新版应用进行分发。研究人员已识别出超过70个命令与控制服务器和应用分发中心,以及数十个用于数据泄露和操作协调的通信频道。
安全专家建议用户不要轻易安装来源不明的APK文件,除非发行商明确可信。同时应检查应用是否要求可疑权限,例如NFC访问或前台服务权限。在非必要使用时,建议及时关闭设备的NFC功能。
