
近期,安全研究人员在东欧地区监测到一种借助NFC技术的新型恶意软件正在快速扩散。从今年年初开始,这类专门窃取用户信用卡信息的恶意安卓应用已累计发现超过760个,呈现出明显的区域性爆发态势。
与以往依赖界面覆盖层获取用户凭证的传统银行木马不同,此类恶意程序利用了安卓系统中的HCE(基于主机的卡模拟)技术。该技术支持通过软件或云端实现NFC卡模拟,无需传统安全硬件模块参与,恰好为攻击者打开了可乘之机。
这些恶意应用能够截获EMV通信字段,并在收到POS终端发出的APDU指令时,返回由攻击者控制的响应数据。部分变种甚至可将终端请求转发至远程服务器,由服务器生成符合支付协议的回复,进而完成无卡交易,整个过程无需实体银行卡参与。
此类攻击最早于2024年在波兰被识别,随后不断演化出多个新版本,采用更加隐蔽和多样化的技术手段。恶意程序通常伪装成Google Pay或各类银行的最新应用,诱导用户下载安装。目前研究人员已追踪到近70个用于控制恶意应用的服务节点及分发渠道,同时发现数十个用于传输窃取数据和协调攻击活动的通信通道。
安全专家提醒用户需谨慎对待第三方来源的APK文件,仅从可信发行商处安装应用;在安装过程中需留意权限请求,特别是对NFC访问和前台服务等敏感权限的调用。此外,若无实际使用需求,建议关闭设备的NFC功能,以降低潜在风险。
