【安全圈】全球 Android 用户面临 NFC 恶意软件威胁支付交易或被克隆

关键词

恶意软件

近期，移动安全公司 Zimperium 发布的调查显示，一种针对 Android 用户的高速增长的网络威胁正在蔓延，这类攻击利用手机的近场通信（NFC）和主机卡仿真（HCE）功能，将受感染的设备变为支付诈骗工具。自 2024 年 4 月以来，Zimperium 的研究团队 zLabs 已经发现超过 760 个恶意应用，它们能够实时拦截银行卡数据，最初只是零星个案，但现在已发展为全球性问题，感染案例遍布俄罗斯、波兰、捷克、斯洛伐克、巴西等多个国家。

根据 Zimperium 发布的报告《Tap-and-Steal: The Rise of NFC Relay Malware on Mobile Devices》，这些恶意应用通常伪装成官方银行或政府应用，模仿 Google Pay、VTB 银行、Santander 银行以及俄罗斯国家服务门户（Gosuslugi）等品牌的界面与交互体验。一旦用户安装并将其设置为默认支付方式，应用便悄然激活 NFC 中继功能，将卡片数据转发至攻击者控制的远程服务器，使得黑客几乎能够即时完成欺诈交易，而无需接触受害者的实体银行卡。

Zimperium 的分析显示，这些攻击行动涉及超过 70 个命令与控制（C2）服务器，并通过多个 Telegram 机器人协调金融数据的转售和诈骗操作。恶意应用通过结构化命令进行通信，一台受感染设备收集支付数据，另一台设备在实体终端完成交易，整个过程以实时中继方式进行，使攻击者能够仿冒合法的 NFC 支付。

研究人员还指出，这些恶意应用伪装得非常逼真，通常通过简单的 Web View 展示真实的金融机构标识和文字信息，令用户误以为是官方软件。感染后，应用会悄悄将敏感信息——包括卡号、有效期和 EMV 数据——通过私密的 Telegram 频道传输给黑客，由其管理被盗凭证和销售。

与依赖覆盖界面或 SMS 拦截的传统银行木马不同，这一代恶意软件利用 Android 的 Host Card Emulation 技术，将设备直接模拟为虚拟支付卡。这种方式更直接、更高效，也绕过了面向传统金融木马设计的安全防护措施。

Zimperium 表示，其 Mobile Threat Defense（MTD）和 zDefend 平台已经识别并阻止了多个 NFC 中继恶意软件家族。但该公司强调，这一威胁凸显了对 NFC 权限和支付特权进行更严格防护的迫切需求。对于 Android 用户而言，目前最有效的防护措施仍包括：仅从官方 Google Play 商店下载应用、避免第三方应用商店、保持移动安全软件更新、谨慎处理未知支付设置请求，并保持高度警惕。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！