安卓手機驚現NFC漏洞被盜刷？巴西很多人已經中招！

巴西不少安卓用戶最近徹底懵了——手機沒丟、沒點陌生鏈接，銀行卡卻頻頻出現不明消費，錢莫名其妙就沒了。更讓人頭皮發麻的是，查遍手機里的安全軟件，卻沒能查出任何異常。這到底是怎么回事？難道手機里藏著“隱形盜賊”？

答案還真就這么驚悚。據Cyble研究與情報實驗室（CRIL）發布的報告，這一切的始作俑者，是一款名為RelayNFC的新型安卓惡意軟件。這款軟件詭異的地方在于，它能悄悄把受害者的手機變成遠程讀卡器，讓攻擊者隔著千里之外，就能像拿著實體卡一樣完成盜刷，而主流安全平臺至今對它零檢測。

那么問題來了，這款危險的惡意軟件是怎么鉆進用戶手機的？CRIL的調查給出了答案：全靠偽裝成金融安全門戶的釣魚網站。研究人員發現，至少有五個虛假網站在同步傳播這款惡意軟件。這些網站長得和正規銀行的安全頁面幾乎一模一樣，還打著“保障您的卡片安全”的旗號，專門引誘用戶點擊下載。

一旦用戶信以為真，下載并安裝了網站推送的惡意APK，噩夢就開始了。安裝完成后，手機會彈出一個葡萄牙語的提示——“Aproximeocart?o”（“請將卡片靠近”），不知情的用戶還以為是正規的安全驗證步驟，乖乖把支付卡貼在手機背面。這一貼可就中了圈套，RelayNFC會立刻啟動手機的NFC功能，悄悄讀取銀行卡里的核心數據。

更狠的是，讀取完卡片數據后，軟件還會接著索要支付PIN碼。不少用戶因為已經完成了“卡片驗證”，放松了警惕，直接把PIN碼輸了進去。這些關鍵信息一旦提交，就會通過軟件建立的專用通道，實時發送到攻擊者的控制服務器上。這波神操作讓不少巴西用戶直接破防，自己相當于親手把銀行卡和密碼送到了盜賊手里。

可能有人會問，惡意軟件偷數據不新鮮，RelayNFC的特別之處在哪？

你還別說，它的技術操作確實有點“超前”。據CRIL介紹，這款惡意軟件和傳統的安卓惡意軟件不一樣，它是用ReactNative框架開發的，而且核心的JavaScript代碼還被編譯成了Hermes字節碼。這就意味著，黑客想對它進行逆向工程，難度直接翻倍，這也是它能躲過安全軟件檢測的關鍵原因之一。

更讓人忌憚的是它的工作原理。RelayNFC安裝后，會在手機里悄悄建立一個持久的WebSocket通信通道，連接到攻擊者的命令與控制服務器（C2服務器）。這個通道就像一條隱形的數據線，能實現實時雙向數據傳輸。當攻擊者在遠程用虛假的POS機發起支付時，C2服務器會發送APDU指令到受害者手機，手機的NFC芯片接收指令后，會讀取銀行卡的響應數據，再實時回傳給服務器。

簡單來說，這相當于攻擊者在遠程搭建了一個“虛擬POS機”，而受害者的手機就是連接銀行卡和虛擬POS機的中間橋梁。整個交易過程中，攻擊者根本不需要接觸實體銀行卡，卻能完成所有支付步驟，就像把用戶的銀行卡直接拿到了手里一樣。這種實時APDU中繼攻擊，以前只在高端的刷卡克隆操作中出現，現在被整合到手機惡意軟件里，門檻直接降低，威脅也更大了。

CRIL在調查中還發現了一個更值得警惕的情況：這款惡意軟件還在不斷迭代升級。研究人員發現了一個名為“cartao-seguro.apk”的相關變體，同樣通過上述釣魚網站傳播。這個變體新增了一個RelayHostApduService組件，試圖實現主機卡模擬（HCE）功能。這意味著，它未來可能不僅能讓手機變成“讀卡器”，還能直接模擬成一張銀行卡，進行更多樣化的欺詐操作。

RelayNFC的出現并非偶然。巴西一直是金融惡意軟件的“試驗場”，之前就出現過Ngate、PhantomCard等專門針對金融科技的惡意軟件。這些軟件大多瞄準移動支付用戶，通過各種手段竊取支付信息。而RelayNFC則是在這個基礎上實現了升級，把手機直接變成了欺詐工具，不需要額外的硬件設備，隱蔽性和危害性都上了一個臺階。

為什么巴西會成為這類惡意軟件的重災區？這和當地的移動支付環境密切相關。近年來，巴西的移動支付普及率快速提升，越來越多的人習慣用手機刷卡消費，NFC支付成為主流方式。這就給了惡意軟件可乘之機，針對NFC功能的攻擊自然也越來越多。而且巴西的網絡釣魚攻擊本就十分猖獗，攻擊者很容易通過虛假網站誘導用戶下載惡意軟件，形成完整的欺詐鏈條。

更讓人破防的是，RelayNFC目前在VirusTotal平臺上的檢測結果是零檢出。這意味著，即使用戶手機里裝了主流的殺毒軟件，也很難發現它的存在。這種“隱形攻擊”讓用戶防不勝防，可能直到銀行卡被大量盜刷，才意識到手機里藏著隱患。

那么問題又來了，普通用戶該如何防范這種看不見的威脅？

首先，一定不要隨意點擊陌生鏈接，尤其是那些打著“保障賬戶安全”“卡片驗證”旗號的網站。正規銀行或支付機構絕不會通過陌生鏈接讓用戶下載APK文件，遇到這類提示，一定要先通過官方APP或客服電話核實。其次，下載手機應用時，要通過正規的應用商店，避免從網頁直接下載，減少惡意軟件植入的風險。

另外，開啟手機的安全防護功能，定期更新系統和安全軟件，雖然目前RelayNFC能躲過檢測，但隨著安全廠商的跟進，后續大概率會推出針對性的檢測手段。同時，在使用NFC支付時，盡量設置小額免密限額，并且開通交易提醒，一旦發現異常消費，能第一時間凍結賬戶，減少損失。還有一點很重要，不要輕易向陌生應用透露銀行卡PIN碼等核心信息，避免被惡意軟件竊取。

CRIL表示，RelayNFC的傳播目前主要集中在巴西，但考慮到惡意軟件的跨境傳播特性，未來不排除擴散到其他國家和地區的可能。

筆者推測，RelayNFC的出現可能只是一個開始。未來，惡意軟件可能會整合更多技術，比如結合AI識別用戶操作習慣，讓欺詐過程更隱蔽；或者利用藍牙、Wi-Fi等多種通信方式，擴大攻擊范圍。而隨著5G技術的普及，實時數據傳輸的延遲更低，這類遠程中繼攻擊的成功率也可能會進一步提高。

看完這篇文章的安卓用戶們可得小心了，手機不再只是通訊工具，也可能成為不法分子利用的“盜刷工具”。那么，你手機里的安全軟件能抵御這類新型攻擊嗎？未來，我們還能放心地使用移動支付嗎？

參考引用來源：Cyble研究與情報實驗室（CRIL）報告、SecurityOnline網站報道