警惕760多款安卓恶意软件可隔空盗刷信用卡

10月31日消息，科技媒体bleepingcomputer在昨日（10月30日）发布报告称，一款名为“NFC中继”的新型恶意软件正在网络空间肆虐。目前已检测到超过760款安卓恶意应用，利用近场通信（NFC）技术实施“隔空盗刷”信用卡的犯罪行为。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

安全公司Zimperium在最新研究报告中透露，过去几个月内已累计发现超过760个恶意安卓应用。这些应用采用“NFC中继”（NFC relay）攻击手法，专门窃取用户的非接触式支付卡信息。

值得注意的是，这类恶意程序利用了近场通信（NFC）技术的特性。它能够截获用户手机与支付终端之间的通信信号，并将其转发给远程攻击者。攻击者随即利用这些信息在异地完成欺诈性支付，整个过程无需物理接触实体银行卡。

与传统使用界面覆盖层（通过伪造银行应用界面窃取凭证）的木马不同，NFC中继恶意软件滥用了安卓系统的一项合法功能——主机卡模拟（Host Card Emulation，简称HCE）。

该功能允许手机模拟实体支付卡。在进行攻击时，恶意软件会拦截POS支付终端发出的交易请求（APDU指令），并将其转发至攻击者控制的远程服务器。服务器立即生成伪造的响应指令传回，欺骗POS终端完成支付验证。

这项攻击技术最早于2024年在波兰被发现，随后迅速蔓延至捷克共和国及俄罗斯等地，并演化出多种变体。其中包括直接窃取卡片数据并发送至Telegram的“数据收割机”，以及能够实时操控HCE响应以授权虚假交易的“幽灵支付”攻击方式。

Zimperium安全专家指出，最初发现的零星样本现已发展成大规模攻击活动，其影响范围正从俄罗斯、波兰等国持续扩大。

为诱骗用户安装，这些恶意软件通常伪装成Google Pay或知名银行应用，例如桑坦德银行（Santander Bank）、VTB银行和ING银行等。攻击者通过非官方应用商店或直接分发APK安装文件的方式进行传播。

目前Zimperium已定位超过70个用于支撑这些攻击活动的命令与控制（C2）服务器和应用分发中心，同时发现数十个用于窃取数据和协调行动的Telegram频道。