移動安全公司Zimperium最新調(diào)查揭示，針對安卓用戶非接觸式支付系統(tǒng)的網(wǎng)絡(luò)安全威脅正在快速蔓延。該公司研究團(tuán)隊zLabs追蹤發(fā)現(xiàn)數(shù)百款惡意應(yīng)用濫用安卓近場通信（NFC）和主機(jī)卡模擬（HCE）功能竊取支付數(shù)據(jù)，將受感染手機(jī)變成支付欺詐工具。

惡意應(yīng)用仿冒的組織機(jī)構(gòu)名單（圖片來源：Zimperium）

全球蔓延的支付欺詐網(wǎng)絡(luò)

自2024年4月以來，分析師已發(fā)現(xiàn)760余款專門攔截實時銀行卡數(shù)據(jù)的惡意應(yīng)用。雖然最初只是零星案例，但目前已發(fā)展為全球性問題，俄羅斯、波蘭、捷克、斯洛伐克、巴西等多國均出現(xiàn)感染案例。Zimperium在題為《點擊即盜：移動設(shè)備NFC中繼惡意軟件興起》的報告中指出，隨著網(wǎng)絡(luò)犯罪分子尋求移動支付新漏洞，此類攻擊方式正在快速擴(kuò)散。

精心偽裝的惡意應(yīng)用

這些惡意應(yīng)用偽裝成銀行或政府官方程序，模仿Google Pay、VTB銀行、Santander銀行及俄羅斯國家服務(wù)門戶（Gosuslugi）等可信品牌的界面設(shè)計。安裝后，這些虛假應(yīng)用會誘導(dǎo)用戶將其設(shè)為默認(rèn)支付方式，實則激活NFC中繼功能，將卡片數(shù)據(jù)轉(zhuǎn)發(fā)至攻擊者控制的遠(yuǎn)程服務(wù)器，使其能即時完成欺詐交易。

高度組織化的犯罪生態(tài)

據(jù)Zimperium向Hackread.com提供的博客文章披露，該犯罪網(wǎng)絡(luò)涉及70余個命令控制服務(wù)器和大量Telegram機(jī)器人，用于協(xié)調(diào)詐騙及金融數(shù)據(jù)轉(zhuǎn)售。惡意軟件采用結(jié)構(gòu)化指令通信：一臺受感染設(shè)備收集支付數(shù)據(jù)，另一臺設(shè)備則在實體終端完成交易。整個交換過程通過實時中繼實現(xiàn)，攻擊者無需物理接觸受害者卡片即可偽造合法NFC支付。

技術(shù)特征與防御建議

研究人員指出，這些應(yīng)用通過簡單網(wǎng)頁視圖展示逼真界面，顯示金融機(jī)構(gòu)真實標(biāo)識和文本以獲取信任。設(shè)備一旦被入侵，應(yīng)用便通過私有Telegram頻道靜默傳輸卡號、有效期和EMV數(shù)據(jù)等敏感信息。與傳統(tǒng)依賴覆蓋層或短信攔截的銀行木馬不同，新一代惡意軟件濫用安卓主機(jī)卡模擬功能充當(dāng)虛擬支付卡，這種更直接高效的方式可規(guī)避針對傳統(tǒng)金融惡意軟件的安全防護(hù)。

Zimperium移動威脅防御（MTD）和zDefend平臺已識別并攔截多個NFC中繼惡意軟件家族。該公司強(qiáng)調(diào)需加強(qiáng)對NFC權(quán)限和支付特權(quán)的保護(hù)。安卓用戶當(dāng)前最佳防護(hù)措施包括：僅從Google Play官方商店下載應(yīng)用、避免第三方應(yīng)用商店、使用更新的移動安全軟件，并對涉及支付設(shè)置的未知請求保持警惕。