Експерти Zimperium повідомляють про стрімке зростання кількості шкідливих Android‑додатків, націлених на безконтактні платежі у Східній Європі. За останні місяці ідентифіковано понад 760 зразків так званої NFC‑малварі, яка використовує легітимні механізми платформи для викрадення платіжних даних і ініціювання несанкціонованих транзакцій. Динаміка атак продовжує прискорюватися, що підвищує ризики для користувачів мобільних гаманців.
Що таке NFC‑шкідливе ПЗ і чому воно небезпечне для Android‑платежів
На відміну від класичних банківських троянів із фішинговими накладками та перехопленням екрана, NFC‑малварі працює точково: зловживає функцією Host Card Emulation (HCE) в Android. HCE дозволяє смартфону емітувати безконтактну картку й взаємодіяти з POS‑терміналом як «пластик». Для користувача процес виглядає звичним, але шкідливе ПЗ перехоплює критичні елементи платіжного обміну, отримуючи контроль над частиною протоколу.
Технічні прийоми: HCE, EMV‑поля, APDU‑тунелювання та «Ghost Tap»
Дослідники фіксують кілька векторів зловживання. По‑перше, відбувається перехоплення та ексфільтрація EMV‑полів — структурованих атрибутів транзакції — до Telegram‑ботів або на керувальні сервери операторів атак.
По‑друге, застосовується APDU‑тунелювання: команди термінала (APDU) проксуюються на віддалений сервер, який у реальному часі генерує валідні відповіді для авторизації платежу. Такий «relay/проксі»‑режим дозволяє оплачувати без фізичної картки й без відома власника смартфона.
Окремі зразки демонструють підхід, подібний до Ghost Tap: динамічно модифікують відповіді HCE «на льоту», непомітно доводячи транзакцію до успішного завершення на касі.
Масштаб і інфраструктура атак: C2, Telegram та географія
За оцінкою Zimperium, екосистема зловмисників включає понад 70 керувальних серверів і майданчиків розповсюдження, а також десятки приватних Telegram‑каналів і ботів для координації та прийому вкрадених даних. Перші інциденти датуються осінню 2023 року та торкнулися клієнтів великих банків у Чехії.
У Росії перші атаки із застосуванням NFCGate зафіксовані в серпні 2024 року. За даними фахівців F6, лише за I квартал 2025 року сукупний збиток від шкідливих варіантів NFCGate сягнув 432 млн рублів. З січня по березень зловмисники здійснювали в середньому близько 40 успішних атак на день, а середній розмір шкоди становив приблизно 120 000 рублів на інцидент — показник зрілості схем монетизації та стійкості каналів поширення.
Маскування під платіжні сервіси та бренди‑приманки
Щоб закріпитися в системі, шкідливі програми часто реєструються як обробник безконтактних платежів за замовчуванням (Tap‑to‑Pay) в Android, маскуючись під PWA або підроблені мобільні клієнти. Найчастіше імітуються Google Pay та банки Santander Bank, ВТБ, «Тінькофф Банк», Банк Росії, ING Bank, Bradesco Bank, Promsvyazbank тощо. Візуально ці застосунки можуть виглядати переконливо, що ускладнює самодіагностику підміни.
Ланцюги доставки та ексфільтрації даних
Основні канали поширення — фішингові сайти, сторонні каталоги APK, розсилки в месенджерах і закриті спільноти в Telegram. Для виведення даних використовуються ті ж інструменти: відправка до ботів і каналів, передача на C2, подальша агрегація та застосування у шахрайських транзакціях.
Як захистити безконтактні платежі на Android: практичні поради
— Встановлюйте застосунки лише з Google Play і уникайте APK зі сторонніх сайтів, включно з «клонами» банківських клієнтів.
— Перевірте, яке застосування призначено обробником «Tap‑to‑Pay» за замовчуванням, та негайно скасовуйте підозрілі призначення.
— Вимикайте NFC, коли не користуєтеся безконтактною оплатою; мінімізуйте дозволи застосунків, пов’язаних із платежами.
— Увімкніть Google Play Protect, регулярно оновлюйте ОС і патчі безпеки; використовуйте блокування екрана та біометрію для підтвердження платежів.
— Активуйте сповіщення про всі транзакції та налаштуйте ліміти; при підозрі на шахрайство негайно блокуйте картку.
— Стережіться PWA‑«оновлень» платіжних сервісів через посилання в месенджерах; перевіряйте адресу сайту та видавця застосунку.
— Для організацій: впроваджуйте політики MDM/EMM, білi списки довірених застосунків, контроль і обмеження HCE на керованих пристроях, а також моніторинг мережевих аномалій, пов’язаних із APDU/EMV обміном у сервісах HCE.
Ескалація NFC‑малварі засвідчує, що атаки на безконтактні платежі переходять у розряд системних ризиків. Дотримання гігієни встановлення застосунків, регулярні оновлення, контроль налаштувань Tap‑to‑Pay і проактивний моніторинг транзакцій суттєво знижують імовірність компрометації. Перегляньте політики безпеки ваших пристроїв і платіжних застосунків вже сьогодні, щоб випередити нові сценарії атак.
