Ваш телефон только что оплатил кофе. Но не вам. И ваш антивирус даже не заметил, как это произошло

Киберпреступники в Бразилии начали использовать новую схему хищения денег с бесконтактных карт: мобильное приложение RelayNFC превращает смартфон жертвы в удалённый считыватель, имитирующий присутствие карты возле терминала оплаты. Кампания выявлена аналитиками Cyble и, по их данным, уже как минимум месяц остаётся практически незаметной для защитных систем.

Вредоносное приложение распространяется через фишинговые сайты на португальском языке, где обещается усиленная «защита» платёжных карт. Потенциальным жертвам предлагается установить якобы безопасное приложение с ресурсов maisseguraca[.]site, proseguro[.]site, test[.]ikotech[.]online, maisseguro[.]site и maisprotecao[.]site. После установки программа сразу открывает поддельный экран и просит поднести карту к телефону, а затем выводит ещё одну форму для ввода PIN-кода из четырёх или шести цифр.

RelayNFC построен на базе фреймворка React Native и использует компактный модуль полезной нагрузки, собранный с помощью Hermes, а также встроенный JavaScript-движок. По оценке специалистов Cyble, такой подход усложняет анализ и распознавание вредоносного кода защитными средствами и позволяет незаметно обрабатывать данные банковских карт в режиме реального времени. На момент публикации отчёта образцы практически не определялись антивирусами, о чём свидетельствует нулевая детектируемость в VirusTotal.

Ключевая особенность RelayNFC — полноценный канал ретрансляции APDU-команд через постоянное WebSocket-соединение между сервером злоумышленников и NFC-подсистемой заражённого устройства. NFC-контроллер обрабатывает запросы так же, как при обычной транзакции, формируя легитимные ответы карты. Приложение перехватывает эти ответы и отправляет обратно на управляющий сервер, сохраняя идентификаторы запросов и сессии. В результате злоумышленники могут завершить платёжный сценарий на своём терминале так, словно карта физически присутствует рядом.

Команда Cyble также обнаружила родственную вариацию этой вредоносной кампании, пытающуюся задействовать технологию эмуляции карты (Host Card Emulation), что говорит о поиске новых способов обхода ограничений NFC и дальнейшей эволюции схемы. На фоне RelayNFC упоминаются и другие вредоносные решения, использующие возможности технологии NFC для перехвата платёжных данных, такие как Ngate, SuperCardX и PhantomCard, что подчёркивает рост интереса преступников к этому каналу атак.

В отчёте подчёркивается необходимость строгого контроля за установкой приложений для работы с платежами, усиления защитных механизмов на уровне устройств и более внимательного мониторинга со стороны финансовых организаций, чтобы оперативно выявлять подозрительные операции, связанные с бесконтактными транзакциями.