近日,研究人员发现一种利用NFC技术的新型恶意软件正在东欧地区迅速蔓延。自今年年初以来,已累计发现超过760个具备此类功能的恶意安卓应用程序,其主要目的在于窃取用户的信用卡信息。

与以往依赖界面覆盖层来获取用户凭证的传统银行木马不同,此类恶意程序利用了安卓系统中的HCE(基于主机的卡模拟)技术。该技术允许通过软件或云端实现NFC卡模拟,无需依赖传统的安全硬件模块,从而为攻击者提供了可乘之机。

这些恶意应用能够截获EMV通信字段,并在收到POS终端发出的APDU指令时,返回由攻击者控制的响应数据。部分变种还可将终端请求转发至远程服务器,由服务器生成符合支付协议的回复,进而完成无卡交易,整个过程无需实体银行卡参与。

该类攻击最早于2023年在波兰被识别,此后不断演化出多个新版本,采用更为隐蔽和多样化的技术手段。恶意程序通常伪装成Google Pay或各类银行的官方应用,诱导用户下载安装。目前研究人员已追踪到逾70个用于控制恶意应用的服务器节点及分发渠道,同时发现了数十个用于传输窃取数据和协调攻击活动的通信通道。

安全专家提醒用户应谨慎对待第三方来源的APK文件,仅从可信发行商处安装应用;在安装过程中需留意权限请求,特别是对NFC访问和前台服务等敏感权限的调用。此外,若无实际使用需求,建议关闭设备的NFC功能,以降低潜在风险。