Masivní nárůst NFC relay malwaru krade Evropanům platební karty

Na rozdíl od „klasických“ bankovních trojanů, které často cílí na přihlašovací údaje přes překryvné obrazovky nebo využívají nástroje vzdáleného přístupu k provádění podvodných transakcí, NFC malware jde technicky jinou cestou. Zneužívá funkci Android Host Card Emulation (HCE), díky níž může telefon emulovat platební kartu, a pracuje s daty a protokoly používanými v ekosystému EMV. V praxi může zachytávat EMV data, reagovat na APDU příkazy z platebního terminálu odpověďmi pod kontrolou útočníka, případně požadavky z terminálu přeposílat na vzdálený server, který generuje správné APDU odpovědi. Cílem je umožnit platbu na POS terminálu i bez fyzické přítomnosti držitele karty.

Tato technika se poprvé objevila v roce 2023 v Polsku, následně byly popsány kampaně v České republice a později výraznější vlny v Rusku. Postupně vznikly různé varianty: některé primárně sbírají platební data a odesílají je na Telegram či jiné koncové body, jiné fungují jako relay toolkity přeposílající komunikaci na spárovaná vzdálená zařízení. Zmiňuje se i scénář „ghost-tap“ plateb, kdy jsou HCE odpovědi upraveny tak, aby v reálném čase autorizovaly transakce. Další větev kampaní spoléhá na PWA nebo falešné bankovní aplikace, které se na Androidu zaregistrují jako výchozí platební handler.

„Co začalo jako několik izolovaných vzorků, se rozšířilo na více než 760 škodlivých aplikací… a zneužívání NFC relay se dál zrychluje,“ uvádí společnost Zimperium, která zároveň popisuje infrastrukturu kampaní: přes 70 C2 serverů a distribučních uzlů a také desítky Telegram botů a soukromých kanálů pro koordinaci i exfiltraci dat. Distribuční aplikace se přitom často vydávají za Google Pay nebo za konkrétní banky a finanční instituce.

Zdroj: BleepingComputer