Китайские исследователи кибербезопасности предупреждают о новом вредоносном программном обеспечении (ВПО), нацеленном на пользователей в Китае. Оно использует технологию NFC для скрытого перехвата платежных данных с банковских карт. Эксперты из лаборатории ADLab компании VenusTech обнаружили и проанализировали эту угрозу, присвоив ей имя NFC-Ghost (NFC-призрак).
Описание
Этот зловред является частью экосистемы «NFU Pay», функционирующей по модели MaaS (Malware-as-a-Service, вредоносное ПО как услуга). В отличие от традиционных банковских троянцев, которые крадут учетные данные через фишинговые страницы или перехватывают SMS, эта атака использует физические особенности NFC. Она позволяет злоумышленникам мгновенно получать украденные средства, обходя традиционные меры безопасности, такие как задержка банковского перевода.
Атака работает по принципу ретрансляции (relay attack). Она требует двух устройств: «передающего» и «принимающего». Передающее устройство, находясь рядом с картой жертвы, считывает через NFC команды APDU (Application Protocol Data Unit, блок данных протокола приложения). Эти данные в реальном времени через командный сервер (C2) передаются на принимающее устройство. Оно, используя функцию HCE (Host Card Emulation, эмуляция карты на хосте) в Android, имитирует оригинальную банковскую карту и взаимодействует с платежным терминалом (POS) или банкоматом. Терминал не может определить, что ответ приходит с удаленной карты, что приводит к несанкционированным транзакциям. При этом физическая карта жертвы никогда не покидает ее поле зрения, что делает атаку крайне скрытной.
Исследователи подчеркивают целевую направленность угрозы на китайский рынок. Пользовательский интерфейс, подсказки и логи полностью на упрощенном китайском языке. Клиентские режимы обозначены как «принимающая сторона/отправляющая сторона» вместо английских «POS_terminal/Card_reader». Кроме того, в API-пути используется пиньиньская аббревиатура «/zj/», а в образцах встречаются брендовые названия «Zhongji» и версии «Card-2.0/Card-2.3».
В рамках расследования была собрана коллекция из 76 образцов этого семейства ВПО. Анализ цифровых сертификатов показал активную разработку и распространение, с пиком активности в сентябре 2025 года. Большинство образцов подписаны самоподписанными сертификатами с географической меткой «xinjiang» или упрощенными цифровыми сертификатами. Такой подход указывает на автоматизированное массовое производство.
Глубокий анализ кода подтвердил принадлежность «NFC-Ghost» к платформе NFU Pay. Сравнение с эталонным образцом, содержащим контакты службы поддержки в Telegram (@nfupay666), выявило идентичную структуру пакетов, ключевые классы (EmulationService, MqttService) и протоколы связи. Инфраструктура командного сервера, включая домен zjshare.xyz, также используется другими вариантами NFU Pay, такими как «Kunpeng NFC», что подтверждает модель MaaS.
С технической точки зрения, вредоносное приложение упаковывает функции передатчика и приемника в один APK-файл. Режим выбирается при входе в систему. Ядром атаки является служба EmulationService, которая перехватывает APDU-команды от POS-терминала и асинхронно передает их через WebSocket-соединение на C2-сервер для получения ответа от реальной карты. Для защиты от анализа зловред использует несколько методов обфускации: шифрование строк с помощью собственной схемы NPStringFog, рандомизацию имен пакетов и внедрение невидимых Unicode-символов в название приложения.
Важно отметить, что ВПО запрашивает минимальный набор разрешений Android - только NFC и доступ в интернет. Эта сдержанность резко контрастирует с традиционными банковскими троянцами и снижает подозрительность при установке.
Эксперты ADLab оценивают угрозу как высокую. MaaS-модель значительно снижает технический порог входа для преступников, позволяя им арендовать готовое вредоносное решение. Уже зафиксированы случаи финансовых потерь в Китае, а правоохранительные органы расследуют связанные с этой технологией дела о мошенничестве.
Для защиты пользователям рекомендуется скачивать приложения только из официальных магазинов и никогда не подносить свои банковские карты к смартфонам или другим устройствам по просьбе третьих лиц для «проверки» или «обновления». Банкам и платежным системам следует усилить мониторинг транзакций на предмет аномалий, например, множества операций в разных местах за короткое время, и рассмотреть внедрение дополнительных механизмов аутентификации для операций с высоким риском.
Индикаторы компрометации
URLs
- http://185.106.176.32:8080/zj/api/user_config
- http://185.106.176.32:8080/zj/api/user_login
- http://185.106.176.32:8080/zj/api/user_logout
- https://www.zjshare.xyz/zj/api/
WebSocket
- ws://185.106.176.32:8091/
MD5
- 45902fa3f8879a18c97b12fbb186e196
- 49961202edb37c093201b71907f742d4
- 8017741d7840cb9d6a322de44771a1d3
- 8abdc38030d6686588f9a491e2a93957
- ff54db962a351d853c551b258dbcc30e
