Cyble研究与情报实验室(CRIL)发现一场快速演变的NFC中继恶意软件活动。这种新发现的恶意软件家族被命名为RelayNFC,能够将受害者的安卓设备转变为远程读卡器,使攻击者无需物理接触银行卡即可实施非接触式欺诈交易。
Part01
恶意软件特性与传播手段
CRIL将RelayNFC描述为“轻量级但具备高规避性的恶意软件”,其通过Hermes编译的载荷可悄无声息地窃取用户银行卡数据,并实时中继至攻击者控制的服务器。更令人警惕的是,当前所有样本在VirusTotal上的检测率为零,说明安全产品尚未具备对该威胁的识别能力。
调查显示至少存在五个仿冒金融安全门户的网络钓鱼站点,用于分发同一恶意APK文件,表明这是一场协同攻击行动。
这些站点包括:
-
hxxps://maisseguraca[.]site/
-
hxxp://proseguro[.]site/
-
hxxps://test.ikotech[.]online/
-
hxxps://maisseguro[.]site/
-
hxxp://maisprotecao[.]site/
攻击者通过“卡片安全加固”话术诱导用户下载恶意软件。CRIL强调:“该恶意软件完全依赖网络钓鱼渠道传播。”
Part02
技术架构与攻击流程
RelayNFC采用React Native框架开发,其JavaScript代码被编译为Hermes字节码,极大增加了逆向工程难度。这种开发现代移动应用的手法与近期针对巴西金融科技的Ngate、PhantomCard等恶意软件一脉相承。
安装完成后,恶意软件会启动伪造界面,提示用户用葡萄牙语“APROXIME O CARTÃO”(贴近卡片)完成操作。系统随后会诱导用户输入PIN码并窃取该凭证。RelayNFC通过建立与C2服务器的持久WebSocket连接,实现实时APDU(应用协议数据单元)中继攻击——这种技术与高级POS模拟器及卡片克隆操作如出一辙。
在握手阶段,恶意软件会声明自身为“读卡器”:
{ “type”: “hello”, “role”: “reader”, “id”: “<device-uuid>”}
当攻击者通过伪造POS模拟器发起支付时,C2服务器将发送如下APDU指令:
{ "type": "apdu", "id": 1, "sessionId": "abc", "data": "00A40400"}
恶意软件将APDU指令转发至受害者设备NFC芯片,获取卡片响应后回传C2服务器:
{ "type": "apdu-resp", "id": 1, "sessionId": "abc", "data": "9000"}
CRIL指出:“这种实时双向中继机制使攻击者能完整模拟线下支付流程,仿佛受害者的卡片实际放置在攻击者的POS终端上。”
Part03
演进趋势与行业警示
研究人员还在同一钓鱼站点发现名为“cartao-seguro.apk”的变种样本。该版本包含RelayHostApduService组件,尝试实现主机卡模拟(HCE)功能——使设备能够直接模拟银行卡而非仅作为读卡器。这反映出攻击者正在探索更多NFC中继技术方案。
巴西长期被视为金融恶意软件的试验温床,而RelayNFC的出现标志着威胁再度升级:通过受害者设备实现实时EMV交易中继的完整攻击链已然成型。
参考来源:
Zero-Detection RelayNFC Android Malware Turns Phones Into Remote Card Readers
https://securityonline.info/zero-detection-relaynfc-android-malware-turns-phones-into-remote-card-readers/
暂无评论内容