10月31日,研究人员披露一种利用NFC技术的恶意软件正在东欧地区大规模传播。过去几个月里,分析人员已发现超过760款利用该技术窃取用户信用卡信息的安卓恶意应用。
与传统依赖覆盖层窃取凭证的银行木马不同,这类NFC恶意软件利用了安卓系统的HCE功能,即基于主机的卡模拟技术。该技术通过软件或云端服务替代传统安全模块,实现对NFC卡模拟的技术方案。

恶意软件通过捕获EMV字段,使用攻击者控制的回复响应POS终端的APDU命令,或将终端请求转发至远程服务器,由该服务器制作APDU回复,从而在终端启用支付时无需物理卡片在场。
该技术于2024年在波兰首次被发现,如今随着时间推移已出现多个变种,采用不同的实施手法。

这些恶意应用通常伪装成Google Pay或各大金融机构的最新版应用进行分发。研究人员已识别出超过70个命令与控制(C2)服务器和应用分发中心,以及数十个用于数据泄露和协调操作的通信渠道。
安全专家建议用户不要轻易安装APK文件,除非发行商明确可信。同时应检查应用是否要求可疑权限,例如NFC访问或前台服务权限,不使用时建议禁用NFC功能。
