С апреля 2024 года исследователи безопасности фиксируют резкий рост числа вредоносных Android‑приложений, использующих технологии NFC и HCE (Host Card Emulation) для незаконного получения платежных данных и совершения мошеннических транзакций. То, что сначала выглядело как несколько единичных инцидентов, переросло в масштабную кампанию: выявлено более 760 вредоносных приложений, нацеленных на сбор конфиденциальной платежной информации с устройств жертв.
Ключевые выводы
- Злоумышленники используют возможности NFC для получения данных о платежных картах и транзакциях; популярность схем «Tap‑to‑Pay» делает эту технологию особенно привлекательной для атак.
- Многие образцы маскируются под легитимные сервисы банков, платежных систем или государственных структур — стратегия импersonation для завоевания доверия пользователей.
- Часть вредоносных приложений извлекает данные карт (включая поля EMV) и отправляет их по каналам Telegram, уведомляя злоумышленников обо всех подключённых устройствах.
- Атаки демонстрируют переход от классических банковских троянов, которые делали ставку на overlay‑атаки и перехват SMS, к новому классу угроз, ориентированных на режимы реального времени и манипуляции NFC‑функциями на уровне устройства.
Как работают эти вредоносные приложения
Атаки разворачиваются по предсказуемой, но эффективной схеме: злоумышленники распространяют вредоносные приложения через фишинговые кампании, после установки обеспечивают им «закрепление» в системе и получают контроль над NFC‑взаимодействиями.
- Первичный вектор распространения: фишинг и социальная инженерия, побуждающие пользователей установить вредоносное приложение.
- Закрепление в системе: регистрация сервиса HCE HostApduService, что позволяет активировать вредоносную логику при совершении NFC‑платежей.
- Сбор данных: извлечение полей карт, дат истечения, идентификаторов устройств и других EMV‑полей.
- Эксфильтрация: отправка украденных данных по каналам типа Telegram и через инфраструктуру командования и контроля (C2) с использованием websocket для двунаправленной связи.
- Уклонение от обнаружения: имитация легитимных сервисов (имперсонация) и применение методов обфускации, включая упаковку ПО (packers), чтобы скрыть вредоносный код.
«Это свидетельствует о переходе от традиционных банковских троянских программ, которые часто использовали технологии наложения или перехвата SMS‑сообщений, к новому классу угроз, ориентированных на передачу данных в режиме реального времени и манипулирование функциями NFC на уровне устройства.»
Технические соответствия и тактики
Действия этих вредоносных программ коррелируют с несколькими методами из набора MITRE ATT&CK. Для коммуникации с инфраструктурой злоумышленников используются современные каналы (например, websocket), что обеспечивает оперативную двунаправленную связь и мгновенную эксфильтрацию данных.
Почему это опасно
Сценарии с NFC‑relay malware создают новые вызовы для существующих средств защиты. Традиционные решения, ориентированные на обнаружение overlay‑атак или перехвата SMS, могут оказаться недостаточными против приложений, которые работают на уровне эмуляции платёжной карты и передают данные в реальном времени. Дополнительные риски связаны с высокой степенью маскировки и автоматизированной фильтрацией результатов (автоуведомления в Telegram при подключении каждого устройства).
Практические рекомендации
Чтобы снизить риск компрометации платежных данных, пользователям и организациям следует учитывать базовые меры безопасности:
- Устанавливать приложения только из доверенных источников (официальные магазины и сайты разработчиков).
- Отключать NFC, когда функция не используется, и контролировать разрешения приложений, особенно доступ к NFC и HCE‑сервисам.
- Проверять аутентичность банковских/платёжных приложений и не вводить данные в подозрительные интерфейсы, имитирующие реальные сервисы.
- Использовать многофакторную аутентификацию и мониторинг банковских операций; при подозрительной активности немедленно обращаться в банк.
- Для организаций — внедрять средства детектирования аномалий поведения приложений и контроль сетевых соединений, включая анализ C2‑трафика и веб‑сокетов.
Заключение
Рост числа вредоносных Android‑приложений, эксплуатирующих NFC и HCE, свидетельствует о том, что киберпреступники адаптируют свои инструменты под современные способы оплаты. Переход к атакам в режиме реального времени и использование эмуляции карт делает эту угрозу серьёзной и требует как повышенной бдительности со стороны пользователей, так и обновления подходов к защите на уровне устройств и инфраструктуры.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "NFC/HCE-вредоносное ПО на Android: волна краж платежных данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.