RelayNFC превращает телефон в удалённый считыватель карт
2 мин
62
Исследователи из Cyble Research and Intelligence Labs обнаружили новое вредоносное ПО RelayNFC, нацеленное на Бразилию. ВПО использует технологию NFC для кражи данных бесконтактных платежей. RelayNFC работает на устройствах с операционной системой Android и превращает телефон жертвы в удалённый считыватель банковских карт. RelayNFC распространяется через фишинговые сайты на португальском языке, предлагающие установить вредоносное приложение под видом защиты платёжных карт.
RelayNFC — это ВПО, скомпилированное с использованием JavaScript-движка Hermes, что затрудняет его обнаружение и статический анализ. Приложение после установки показывает фишинговые экраны: сначала предлагает поднести карту к смартфону для считывания, а затем ввести PIN-код. Все команды APDU (единицы обмена данными между картой и считывателем) передаются в режиме реального времени через WebSocket на сервер злоумышленника.
Кроме того, в ВПО есть компонент RelayHostApduService, который реализует эмуляцию карты хоста (Host Card Emulation, HCE). Эта функция позволяет эмулировать карту на смартфоне и передавать данные для проведения ретрансляционных атак NFC в реальном времени. По словам ИБ-экспертов, служба HCE во вредоносном ПО пока не
активирована, что говорит об экспериментах с расширением его функциональности.
Кампания по распространению RelayNFC длится минимум месяц, выявлено пять сайтов с одинаковым интерфейсом, которые распространяют один и тот же вредоносный APK. Образцы не обнаруживаются сервисами проверки URL.
