A hagyományos banki trójai programokkal ellentétben, amelyek felületrétegeket (overlay) használnak a banki hitelesítő adatok megszerzésére, vagy távoli hozzáféréssel hajtanak végre csalásokat, az NFC-alapú kártevők az Android Host Card Emulation (HCE) funkcióját kihasználva képesek érintésmentes bankkártyákat emulálni, illetve az ezekhez kapcsolódó fizetési adatokat megszerezni.
Ezek a programok rögzítik az EMV-mezőket (az Europay–Mastercard–Visa szabvány szerinti bankkártya-adatmezőket), válaszolnak a fizetési terminál (POS – Point of Sale) által küldött APDU-parancsokra (Application Protocol Data Unit – alkalmazásprotokoll-adategységek) a támadó által meghatározott válaszokkal, vagy továbbítják a terminál kéréseit egy távoli szerverre, amely előállítja a megfelelő APDU-válaszokat. Ennek eredményeként a fizetés a fizikai kártyabirtokos jelenléte nélkül is végrehajtható a terminálnál.
Ezt a támadási módszert először 2023-ban észlelték valós támadás során Lengyelországban, majd hasonló jellegű támadások indultak a Cseh Köztársaságban, később pedig Oroszországban következtek nagyobb támadáshullámok. Az idő múlásával több különböző változat alakult ki, amelyek eltérő gyakorlati megközelítéseket alkalmaznak, például:
-
-
- Adatgyűjtő programok, amelyek az EMV-mezőket Telegramon vagy más végpontokra szivárogtatják ki,
- Relé eszközkészletek, amelyek az APDU-parancsokat továbbítják távoli, párosított eszközökhöz,
- „Ghost-tap” fizetések, amikor a HCE-válaszokat valós időben manipulálják annak érdekében, hogy jóváhagyják a POS-tranzakciókat,
- Progresszív webalkalmazások (PWA-k) vagy álbanki appok, amelyek alapértelmezett fizetési szolgáltatóként regisztrálják magukat Androidon.
-
A Zimperium mobilbiztonsági cég (a Google App Defense Alliance tagja) szerint az NFC-alapú kártevők népszerűsége az utóbbi időben drasztikusan megnőtt, különösen Kelet-Európában.
„Ami korábban csupán néhány elszigetelt rosszindulatú alkalmazásminta volt, mára több mint 760, valós környezetben azonosított fertőzött alkalmazássá vált, ami egyértelműen jelzi, hogy az NFC-re épülő támadások térnyerése nem lassul, hanem egyre gyorsuló ütemben terjed” – magyarázta a Zimperium. „Azok a kampányok, amelyeket korábban más biztonsági cégek is dokumentáltak, mára újabb régiókban is megjelentek – köztük Oroszországban, Lengyelországban, a Cseh Köztársaságban, Szlovákiában és más országokban.”
A cég több mint 70 parancs- és vezérlőszervert (C2), valamint alkalmazásterjesztési központot azonosított, amelyek ezeket a kampányokat kiszolgálják. Emellett tucatnyi Telegram-botot és privát csatornát is feltérképeztek, amelyeket az ellopott adatok továbbítására, illetve a támadások koordinálására használnak.
A rosszindulatú alkalmazások gyakran a Google Pay vagy valamilyen ismert banki applikáció felületét utánozzák, hogy megtévesszék a felhasználókat.
Az Android-felhasználóknak azt tanácsolják, hogy soha ne telepítsenek APK-fájlokat a Google Play áruházon kívüli forrásokból, kivéve, ha teljes mértékben megbíznak a kiadóban. Banki alkalmazásokat kizárólag a pénzintézet hivatalos weboldaláról vagy megbízható hivatkozásból érdemes letölteni, és célszerű kiemelt figyelmet fordítani a gyanús engedélykérésekre – különösen az NFC-hozzáférésre, valamint azokra az engedélykérésekre, amelyek lehetővé teszik, hogy az alkalmazás tartósan aktív maradjon a háttérben.
Továbbá javasolt rendszeresen ellenőrizni az eszközt a Play Protect beépített védelmi megoldásával, illetve kikapcsolni az NFC-t, ha az éppen nincs használatban.