10月31日，研究人员披露一种利用NFC技术的恶意软件正在东欧地区大规模传播。过去几个月里，分析人员已发现超过760款利用该技术窃取用户信用卡信息的安卓恶意应用。

与传统依赖覆盖层窃取凭证的银行木马不同，这类NFC恶意软件利用了安卓系统的HCE功能，即基于主机的卡模拟技术。该技术通过软件或云端服务替代传统安全模块，实现对NFC卡模拟的技术方案。

恶意软件通过捕获EMV字段，使用攻击者控制的回复响应POS终端的APDU命令，或将终端请求转发至远程服务器，由该服务器制作APDU回复，从而在终端启用支付时无需物理卡片在场。

该技术于2024年在波兰首次被发现，如今随着时间推移已出现多个变种，采用不同的实施手法。

这些恶意应用通常伪装成Google Pay或各大金融机构的最新版应用进行分发。研究人员已识别出超过70个命令与控制（C2）服务器和应用分发中心，以及数十个用于数据泄露和协调操作的通信渠道。

安全专家建议用户不要轻易安装APK文件，除非发行商明确可信。同时应检查应用是否要求可疑权限，例如NFC访问或前台服务权限，不使用时建议禁用NFC功能。