Un nou tip de amenințare informatică se răspândește rapid în Europa de Est și pune în pericol milioane de utilizatori de telefoane Android. Cercetătorii în securitate cibernetică au descoperit peste 760 de aplicații malițioase care folosesc tehnologia NFC relay pentru a fura datele cardurilor bancare și ale plăților contactless.
Lista completă a fișierelor APK descoperite de Zimperium în mediul online este disponibilă aici.
Fenomenul a fost semnalat inițial în Polonia, în 2023, dar în ultimele luni s-a extins semnificativ în Cehia, Rusia, Slovacia și alte state europene. Experții de la compania Zimperium, membră a „App Defense Alliance” a Google, avertizează că valul de atacuri este „în plină expansiune” și că metodele folosite devin tot mai sofisticate.
Spre deosebire de troienii bancari tradiționali, care fură parole sau controlează de la distanță conturile bancare, aceste aplicații folosesc o funcție nativă din Android — Host Card Emulation (HCE). Aceasta permite simularea funcționării unui card contactless, transformând telefonul într-un substitut al cardului fizic.
Atacatorii exploatează această funcționalitate pentru a intercepta și reproduce comunicațiile dintre cardul real și terminalul POS. Practic, malware-ul captează câmpurile de date EMV (standardul utilizat la plățile contactless), apoi trimite răspunsuri false către terminalele de plată sau către un server controlat de infractori.
Această tehnică, numită relay attack, permite efectuarea unei plăți fără ca posesorul cardului să fie prezent. În unele cazuri, dispozitivul infectat este folosit ca intermediar între un POS și un alt telefon aflat la distanță, care transmite în timp real datele de plată corecte.
Cercetătorii au identificat mai multe versiuni ale acestor aplicații:
- Aplicații de colectare de date, care trimit informațiile bancare prin canale Telegram către atacatori;
- Toolkituri de relay, care conectează telefonul infectat cu un alt dispozitiv folosit la efectuarea tranzacțiilor;
- Atacuri „ghost-tap”, unde datele de autentificare sunt manipulate în timp real pentru aprobarea unei plăți false;
- Aplicații false de tip PWA sau aplicații bancare contrafăcute, care se instalează ca „metodă principală de plată” în sistemul Android.
Cum se răspândesc aplicațiile infectate și ce bănci sunt imitate
Raportul Zimperium arată că peste 70 de servere de comandă și control (C2) și zeci de canale Telegram private sunt folosite pentru a coordona operațiunile și a exfiltra datele furate.
Aplicațiile malițioase sunt distribuite în afara magazinului oficial Google Play, sub formă de fișiere APK descărcate de pe site-uri obscure, forumuri sau chiar prin linkuri transmise prin mesaje SMS ori WhatsApp.
Pentru a păcăli utilizatorii, aceste aplicații se prezintă drept servicii de plată sau aplicații bancare legitime. Printre mărcile cel mai frecvent imitate se numără:
- Google Pay,
- Santander Bank,
- VTB Bank,
- Tinkoff Bank,
- ING Bank,
- Bradesco Bank,
- Promsvyazbank (PSB).
Interfețele sunt aproape identice cu cele originale, iar multe aplicații solicită permisiuni periculoase, precum accesul la NFC, serviciile de fundal și chiar gestionarea plăților implicite. Odată instalate, acestea pot intercepta date sensibile fără ca utilizatorul să observe.
Zimperium avertizează că popularitatea acestui tip de malware a explodat în ultimele luni: „Ceea ce a început cu doar câteva mostre izolate s-a transformat într-un fenomen masiv, cu sute de aplicații active în mediul real. Extinderea nu dă semne de încetinire.”
Cum te poți proteja de atacurile prin NFC relay
Specialiștii în securitate recomandă o serie de măsuri simple, dar esențiale, pentru a preveni compromiterea datelor financiare:
- Nu instala aplicații din surse externe (APK-uri descărcate de pe internet), decât dacă provind dintr-o sursă verificată și de încredere.
- Instalează aplicațiile bancare doar de pe site-urile oficiale ale băncilor sau din magazinul Google Play, verificând numele dezvoltatorului.
- Verifică permisiunile acordate aplicațiilor — o aplicație care cere acces la NFC, la serviciile de plată sau la funcții de sistem ar trebui analizată cu atenție.
- Scanează periodic telefonul cu Play Protect, sistemul de securitate integrat în Android.
- Dezactivează funcția NFC atunci când nu o folosești, pentru a limita potențialele riscuri.
De asemenea, utilizatorii sunt sfătuiți să monitorizeze cu atenție extrasele de cont și să raporteze imediat orice tranzacție suspectă băncii emitente.
Pe termen lung, acest tip de atac ar putea forța producătorii de sisteme de operare să implementeze controale suplimentare pentru aplicațiile care utilizează Host Card Emulation.
Creșterea alarmantă a malware-ului NFC relay arată că infractorii cibernetici exploatează chiar funcțiile care ar trebui să ne facă viața mai ușoară. Într-o epocă în care plățile contactless devin norma, fiecare smartphone poate deveni, fără protecția potrivită, o poartă deschisă spre conturile bancare ale utilizatorilor.
Deocamdată, fenomenul afectează în special Europa de Est, dar experții avertizează că valul de atacuri s-ar putea extinde rapid și în alte regiuni, odată ce metodele de fraudă devin tot mai accesibile și mai greu de detectat.