У Європі зафіксовано стрімке зростання Android-малварі, яка викрадає платіжні дані через NFC-relay-атаки. Дослідники виявили понад 760 шкідливих застосунків, що імітують Google Pay та банківські програми, і цілеспрямовано крадуть карткові дані користувачів у Східній Європі. На відміну від класичних банківських троянів, ці програми використовують Android Host Card Emulation (HCE), що дозволяє емуляцію безконтактних карток та перехоплення полів EMV для подальших шахрайських транзакцій без участі власника.
Методи атак:
викрадення EMV-даних та пересилання їх у Telegram-боти
relay-інструменти, що переспрямовують запити POS-терміналу на сервер зловмисників
“ghost-tap” — миттєве формування відповідей для POS-терміналу
підроблені банківські та Google Pay-додатки, зареєстровані як стандартний платіжний сервіс на Android
За даними Zimperium, зафіксовано:
760+ шкідливих APK
70+ C2-серверів
десятки приватних Telegram-каналів для ексфільтрації даних
хвиля атак у Польщі, Чехії, Словаччині, Росії та інших країнах регіону
Зловмисники маскують застосунки під Google Pay, Santander, VTB, Tinkoff, ING, Bradesco та інші банки.
Перші такі атаки були зафіксовані у 2023 році в Польщі. Потім хвиля поширилася на Чехію та РФ. Зараз техніка стала масовою, а код активно поширюється у підпільних групах. NFC-relay-атаки — це той самий тип загрози, який можуть використати для офлайн-шахрайства в магазинах, не потребуючи ваших логінів чи паролів.
Захист:
не інсталювати APK поза Google Play
завжди завантажувати банки лише з офіційних посилань
перевіряти права доступу (особливо NFC та Foreground Service)
вимикати NFC, якщо він не використовується
регулярно запускати перевірку Play Protect
NFC-relay-малварі перестала бути експериментом кіберзлочинців — вона перетворилася на реальну фінансову загрозу для користувачів Європи та банків. З огляду на масштаби розповсюдження, Android-користувачам варто очікувати нових хвиль атак, особливо тих, де шахраї використовують Telegram-інфраструктуру.
