移动安全公司Zimperium的最新研究揭示，一种名为NFC中继的恶意软件正在全球蔓延，其通过伪装成正版应用，利用安卓的NFC和HCE功能窃取支付数据，将用户手机变为支付欺诈工具。自2024年4月以来，已发现超过760款此类恶意应用，它们模仿Google Pay、银行应用等知名品牌界面，诱导用户设为默认支付方式，从而实时拦截银行卡数据并转发至攻击者服务器，实现无需物理接触的欺诈交易。该犯罪网络涉及大量命令与控制服务器和Telegram机器人，攻击手段高效且隐蔽。专家建议用户仅从官方应用商店下载应用，并警惕索要支付权限的非官方应用。

🛡️ **NFC中继恶意软件的出现与传播**：一种新型网络安全威胁正通过伪装成正版应用的方式，利用安卓的NFC和HCE功能，在全球范围内传播。这些恶意软件旨在窃取用户的支付数据，将受感染的手机转化为支付欺诈的工具。自2024年4月起，研究人员已发现超过760款此类恶意应用，表明该威胁已从零星案例演变为全球性问题，影响多个国家。

💳 **欺诈手段与技术细节**：这些恶意应用模仿Google Pay、银行应用（如VTB、Santander）及政府服务门户等受信任品牌的界面，诱导用户将其设置为默认支付方式。一旦用户中招，应用便会激活NFC中继功能，实时拦截用户的银行卡数据，并将其转发至攻击者控制的远程服务器，使攻击者能够冒充合法NFC支付，完成欺诈交易，而无需物理接触受害者的银行卡。

🌐 **犯罪网络与应对建议**：该犯罪网络规模庞大，涉及70多个命令与控制服务器及大量Telegram机器人，用于协调诈骗活动和金融数据转售。整个数据交换过程通过实时中继实现，隐蔽性极高。为防范此类风险，安卓用户应养成仅从官方应用商店下载程序的习惯，定期检查并管理默认支付设置，同时对任何索要支付权限的非官方应用保持高度警惕。

看雪学苑 2025-10-30 18:00 上海

NFC中继恶意软件伪装正版应用，克隆安卓支付交易全球蔓延。

移动安全公司Zimperium最新调查显示，一种针对安卓用户免接触支付系统的网络安全威胁正在快速蔓延。该公司的zLabs研究团队发现，数百个恶意应用正利用安卓的近场通信（NFC）和主机卡模拟（HCE）功能窃取支付数据，将受感染的手机变成支付欺诈工具。

自2024年4月以来，研究人员已发现超过760款旨在实时拦截银行卡数据的恶意应用。尽管最初只是个别案例，但如今已演变为全球性问题，在俄罗斯、波兰、捷克、斯洛伐克、巴西等多个国家均发现感染情况。

这份题为《即触即偷：移动设备上NFC中继恶意软件的兴起》的报告指出，随着网络犯罪分子不断寻找利用移动支付的新方法，此类攻击正在迅速扩散。

这些恶意应用伪装成官方银行或政府程序，模仿Google Pay、VTB银行、Santander银行、俄罗斯国家服务门户（Gosuslugi）等受信任品牌的界面设计。一旦安装，这些虚假应用会诱导用户将其设为默认支付方式，实则激活NFC中继功能，将卡片数据转发至攻击者控制的远程服务器，使不法分子能够几乎即时完成欺诈交易。

据Zimperium透露，该犯罪网络涉及70多个命令与控制服务器及大量Telegram机器人，用于协调诈骗及金融数据转售。恶意软件通过结构化指令进行通信：一台受感染设备收集支付数据，另一台设备则在实体终端上使用这些数据完成交易。整个交换过程通过实时中继实现，使攻击者无需物理接触受害者银行卡即可冒充合法NFC支付。

研究人员特别强调，这些应用经过精心伪装，在简单网页视图中显示逼真的界面，经常使用金融机构的真实标识和文本以取信用户。建议安卓用户仅从官方应用商店下载程序，定期检查默认支付设置，并对索求支付权限的非官方应用保持警惕。

资讯来源：hackread

转载请注明出处和本文链接

﹀

﹀

﹀