FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

移动安全公司Zimperium最新调查揭示，针对安卓用户非接触式支付系统的网络安全威胁正在快速蔓延。该公司研究团队zLabs追踪发现数百款恶意应用滥用安卓近场通信（NFC）和主机卡模拟（HCE）功能窃取支付数据，将受感染手机变成支付欺诈工具。

恶意应用仿冒的组织机构名单（图片来源：Zimperium）

全球蔓延的支付欺诈网络

自2024年4月以来，分析师已发现760余款专门拦截实时银行卡数据的恶意应用。虽然最初只是零星案例，但目前已发展为全球性问题，俄罗斯、波兰、捷克、斯洛伐克、巴西等多国均出现感染案例。Zimperium在题为《点击即盗：移动设备NFC中继恶意软件兴起》的报告中指出，随着网络犯罪分子寻求移动支付新漏洞，此类攻击方式正在快速扩散。

精心伪装的恶意应用

这些恶意应用伪装成银行或政府官方程序，模仿Google Pay、VTB银行、Santander银行及俄罗斯国家服务门户（Gosuslugi）等可信品牌的界面设计。安装后，这些虚假应用会诱导用户将其设为默认支付方式，实则激活NFC中继功能，将卡片数据转发至攻击者控制的远程服务器，使其能即时完成欺诈交易。

高度组织化的犯罪生态

据Zimperium向Hackread.com提供的博客文章披露，该犯罪网络涉及70余个命令控制服务器和大量Telegram机器人，用于协调诈骗及金融数据转售。恶意软件采用结构化指令通信：一台受感染设备收集支付数据，另一台设备则在实体终端完成交易。整个交换过程通过实时中继实现，攻击者无需物理接触受害者卡片即可伪造合法NFC支付。

技术特征与防御建议

研究人员指出，这些应用通过简单网页视图展示逼真界面，显示金融机构真实标识和文本以获取信任。设备一旦被入侵，应用便通过私有Telegram频道静默传输卡号、有效期和EMV数据等敏感信息。与传统依赖覆盖层或短信拦截的银行木马不同，新一代恶意软件滥用安卓主机卡模拟功能充当虚拟支付卡，这种更直接高效的方式可规避针对传统金融恶意软件的安全防护。

Zimperium移动威胁防御（MTD）和zDefend平台已识别并拦截多个NFC中继恶意软件家族。该公司强调需加强对NFC权限和支付特权的保护。安卓用户当前最佳防护措施包括：仅从Google Play官方商店下载应用、避免第三方应用商店、使用更新的移动安全软件，并对涉及支付设置的未知请求保持警惕。

参考来源：

Hackers Use NFC Relay Malware to Clone Tap-to-Pay Android Transactions

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）