黑客篡改安卓NFC应用窃取支付数据,克隆卡片盗刷账户-夜雨聆风

黑客篡改安卓NFC应用窃取支付数据,克隆卡片盗刷账户

网络犯罪分子正滥用一款被植入木马的安卓支付应用HandyPay，窃取近场通信（NFC）数据和个人识别码（PIN），进而克隆支付卡并清空受害者账户。ESET研究人员发现，NGate恶意软件的新变种已植入该NFC中继应用，可将NFC数据传输至攻击者设备，用于非接触式ATM取现。

Part01

ESET指出，这标志着NGate运营商从定制工具转向了木马化的合法应用。原本用于设备间NFC数据中继的HandyPay应用，因所需权限极少且符合常规支付流程，成为理想的攻击载体。研究人员表示，攻击者通过重用现有NFC应用中继功能，直接继承了核心数据交换处理能力，无需从头开发定制工具。

NFC中继应用能实时捕获卡片的非接触通信信号，并通过网络转发至远程设备，从而突破近场通信的距离限制。由于该应用运行在常规NFC流程中，攻击者更易掩盖恶意行为。传播渠道包括仿冒巴西”Rio de Premios”彩票的虚假网站，以及推广”卡片保护”工具的伪造Google Play页面。

Part02

研究人员在恶意代码内部发现了异常痕迹：调试日志中的表情符号标记更常见于AI生成内容。虽然这不构成确凿证据，但符合攻击者利用大语言模型加速恶意软件开发的趋势。自2025年11月起，攻击者通过上述渠道向巴西安卓用户分发两个恶意样本。

安卓系统虽通过安全警报提供基础防护，但用户仍需手动启用”允许此来源安装”才能完成木马化HandyPay的安装——该应用未在Google Play上架。ESET已在GitHub仓库共享包括文件哈希、网络指标和MITRE ATT&CK映射在内的检测指标。

参考来源：

NFC tap-to-pay gets tapped by hackers

https://www.csoonline.com/article/4161983/nfc-tap-to-pay-gets-tapped-by-hackers.html

推荐阅读