Угроза RelayNFC: как новый вредонос перехватывает бесконтактные платежи в Бразилии

RelayNFC отличается легковесной структурой и высокой способностью уклоняться от обнаружения. Ключевой особенностью является использование байт-кода Hermes для компиляции вредоносной нагрузки (payload), что значительно затрудняет статический анализ. В настоящее время антивирусные движки на VirusTotal не детектируют эту угрозу, что свидетельствует о ее свежести и потенциальной опасности.

Злоумышленники распространяют RelayNFC исключительно через фишинг. Жертвам показываются убедительные веб-страницы на португальском языке, которые предлагают установить приложение для "защиты" платежных карт. Было идентифицировано пять таких сайтов с одинаковым интерфейсом, что указывает на скоординированную операцию. Приложение запрашивает у пользователя разместить карту рядом с устройством, а затем ввести PIN-код, фактически передавая злоумышленникам полный контроль над платежными данными.

Технически RelayNFC реализует полный канал ретрансляции APDU (Application Protocol Data Unit - протокол взаимодействия между картой и терминалом) в реальном времени. Вредонос использует постоянное WebSocket-соединение для передачи команд между устройством жертвы и сервером злоумышленника. Инфицированный смартфон фактически становится удаленным NFC-ридером, позволяя атакующему проводить транзакции так, как если бы карта жертвы физически присутствовала при оплате.

Особенностью данной кампании является использование фреймворка React Native, при этом основная функциональность содержится в файле index.android.bundle, скомпилированном в байт-код Hermes. Этот подход существенно усложняет реверс-инжиниринг и скрывает логику работы вредоноса.

В ходе исследования был обнаружен связанный вариант, пытающийся реализовать технологию Host Card Emulation (HCE), которая позволяет эмулировать платежную карту средствами смартфона. Хотя данная функциональность пока не активирована, это свидетельствует о продолжении разработки и экспериментов с различными техниками NFC-атак.

Ранее уже были зафиксированы подобные угрозы, такие как Ngate, SuperCardX и PhantomCard, что подтверждает растущий интерес киберпреступников к бесконтактным платежным системам. Ситуация в Бразилии особенно тревожна, учитывая высокую популярность бесконтактных платежей в стране.

Данный случай демонстрирует необходимость усиления защитных мер на уровне устройств, повышения осведомленности пользователей и совершенствования систем мониторинга финансовыми институтами. Пользователям следует проявлять особую бдительность при установке приложений из ненадежных источников и критически оценивать предложения по "защите" платежных карт.

Эксперты рекомендуют устанавливать приложения только из официальных магазинов, регулярно обновлять операционные системы и использовать многофакторную аутентификацию для финансовых операций. Финансовым организациям следует внедрять продвинутые системы обнаружения аномалий и проводить образовательные кампании для клиентов.

Обнаружение RelayNFC подчеркивает продолжающуюся эволюцию мобильных угроз и важность проактивных мер безопасности в условиях растущей цифровизации платежных систем.

URLs

• http://31.97.17.73:3000
• http://72.60.146.139:3000
• http://72.60.255.182:3000
• http://72.61.55.178:3000
• http://82.25.70.65:3000
• http://maisprotecao.site/
• http://proseguro.site/
• https://maisseguraca.site/
• https://maisseguro.site/
• https://test.ikotech.online/

SHA256

• 4124d196a5c7706c7d03d0da6fc19df5833793e30716b04f2259f5faa9816b45
• 5905aa58853a05e860c87e9feeeea7c32b43859c8e703485e233429cec8d38dc
• 5df7ded7e5ba815f563193140e4f303fff50c78aac475b7c3409b0271131dbab
• 76b6b2f0254a8a62eaeed02ab34828e9097f5cf2571ec3fd8230850efb709c68
• f474e7fdc1185351fd613c2bd9e683d13cc4fa143e28e50ced808bd1ad5ccd1a