全球性威脅蔓延態(tài)勢(shì)

一種針對(duì)近場(chǎng)通信（NFC）支付系統(tǒng)的復(fù)雜新型惡意軟件活動(dòng)已演變?yōu)橹卮笕蚓W(wǎng)絡(luò)安全威脅。該攻擊最初僅在東歐地區(qū)出現(xiàn)，如今已發(fā)展為全球性現(xiàn)象。ESET研究人員于2023年底首次在捷克銀行客戶(hù)中發(fā)現(xiàn)這一惡意活動(dòng)，目前其已高效擴(kuò)散至多個(gè)大洲。威脅呈現(xiàn)爆發(fā)式增長(zhǎng)，ESET遙測(cè)數(shù)據(jù)顯示，與2024年下半年相比，2025年上半年NFC相關(guān)攻擊數(shù)量激增35倍。

這種急劇增長(zhǎng)凸顯出網(wǎng)絡(luò)犯罪組織針對(duì)非接觸式支付基礎(chǔ)設(shè)施的攻擊具有快速適應(yīng)和擴(kuò)展能力，他們充分利用了移動(dòng)支付技術(shù)的廣泛普及。攻擊方法結(jié)合了傳統(tǒng)社會(huì)工程學(xué)策略與先進(jìn)的NFC操控技術(shù)，形成多層欺騙手段，對(duì)毫無(wú)戒備的受害者極為有效。

惡意軟件技術(shù)溯源

ESET研究人員確認(rèn)該惡意軟件利用了NFCGate技術(shù)——這項(xiàng)技術(shù)最初由達(dá)姆施塔特工業(yè)大學(xué)安全移動(dòng)網(wǎng)絡(luò)實(shí)驗(yàn)室的學(xué)生開(kāi)發(fā)為合法研究工具，現(xiàn)已被武器化用于金融欺詐。初始攻擊載體通過(guò)短信釣魚(yú)（SMS phishing）誘導(dǎo)受害者訪(fǎng)問(wèn)虛假銀行網(wǎng)站，隨后部署可繞過(guò)傳統(tǒng)應(yīng)用商店安全措施的惡意漸進(jìn)式網(wǎng)絡(luò)應(yīng)用（PWA）。

這些應(yīng)用程序竊取銀行憑證后，會(huì)啟動(dòng)基于語(yǔ)音的社會(huì)工程攻擊：犯罪分子冒充銀行員工誘騙受害者下載NGate惡意軟件。

NFC中繼攻擊技術(shù)解析

該惡意軟件的核心技術(shù)創(chuàng)新在于能在受害者設(shè)備與攻擊者控制系統(tǒng)之間建立無(wú)縫NFC中繼。安裝完成后，NGate會(huì)以PIN驗(yàn)證或安全更新為借口，誘使受害者將支付卡片貼近智能手機(jī)的NFC讀卡器。在此過(guò)程中，惡意軟件會(huì)實(shí)時(shí)捕獲卡片NFC數(shù)據(jù)并中繼傳輸給遠(yuǎn)程攻擊者。

中繼機(jī)制通過(guò)在受害者設(shè)備與攻擊者基礎(chǔ)設(shè)施間建立隱蔽通信通道運(yùn)作，實(shí)質(zhì)上創(chuàng)建了受害者支付卡的虛擬延伸。這使得網(wǎng)絡(luò)犯罪分子能將卡片功能克隆到自有設(shè)備上，無(wú)需物理占有原卡即可進(jìn)行未授權(quán)交易。

該攻擊的復(fù)雜性還體現(xiàn)在其已演變?yōu)?幽靈點(diǎn)擊"（Ghost Tap）操作：被竊取的卡片數(shù)據(jù)會(huì)被植入大量經(jīng)過(guò)編程的Android設(shè)備農(nóng)場(chǎng)，在全球支付網(wǎng)絡(luò)中自動(dòng)執(zhí)行欺詐交易。