文章总结： Group-IB揭露讲中文黑客组织利用GhostTap安卓恶意软件窃取支付数据。该软件通过中继技术绕过NFC物理接触限制，配合社交工程诱导安装，并通过Telegram提供订阅服务。攻击针对全球多国非接触式支付用户。建议金融机构强化交易异常监控并提升用户安全意识。 综合评分： 82 文章分类： 恶意软件,移动安全,威胁情报,社会工程学

---

讲中文的网络犯罪分子利用支持NFC功能的安卓恶意软件窃取支付信息

会杀毒的单反狗

军哥网络安全读报

2026年1月8日 11:11 湖北

导读

一群讲中文的网络犯罪分子正在发起一场猛烈的攻击活动，通过传播支持 NFC 功能的安卓恶意软件，该恶意软件能够拦截并通过 Telegram 远程传输支付卡数据。

这些被识别为“Ghost Tap”的恶意应用程序与 TX-NFC 和 NFU Pay 等威胁组织有关联，它们利用社会工程策略欺骗用户安装 APK，并在用户不知情的情况下促成跨国际市场的欺诈交易。

Group-IB 的安全研究人员发现了与此次行动相关的 54 个以上独特的恶意软件样本，其中一些变种故意伪装成合法的银行和金融应用程序。

该恶意软件家族代表了移动支付欺诈的重大演变，利用近场通信 (NFC) 中继技术在全球范围内实施非接触式银行卡欺诈。

攻击原理

该攻击链展现了复杂的操作设计。攻击者首先通过社交工程活动锁定受害者，推广看似合法的金融或实用应用程序，这些应用程序通过被入侵或恶意 APK 仓库分发。

一旦安装，该恶意软件就会在受害者的 NFC 设备和攻击者控制的命令与控制 (C2) 服务器之间建立中继机制。

该技术实现采用了一种双设备中继架构。受害者的智能手机充当读卡器，放置在目标支付卡附近；而攻击者控制的设备则充当收发器，与销售点（POS）终端或ATM机通信。

通过 C2 基础设施传输卡片数据，攻击者可以绕过合法 NFC 交易固有的近距离要求，使欺诈者能够从全球任何地方进行未经授权的购买和取款。

Group-IB 的研究人员记录到，攻击者完全通过 Telegram 频道分发恶意软件，并通过订阅访问模式产生收入。

TX-NFC 被认定为主要供应商，其广告宣传的分级订阅计划价格从单日访问的 45 美元到三个月访问期的 1050 美元不等。

这些模型表明，存在一个复杂的犯罪服务提供商，向更广泛的网络犯罪生态系统提供 NFC 中继功能。这些恶意软件变种包含可自定义参数，允许购买者根据具体的操作要求配置攻击参数。

该团队提供 24 小时Telegram客户支持，表明其专业服务运营可与合法软件供应商相媲美。

技术分析表明，该代码实现了加密、命令与控制混淆和反分析机制，旨在逃避移动安全解决方案的检测。

地理位置和受害者目标

遥测数据显示，该恶意软件的目标是多个大洲的受害者，在欧洲、亚洲和其他地区均有记录在案的检测结果。

主要目标地理区域包括巴西、意大利、马来西亚、土耳其、乌兹别克斯坦、希腊和印度尼西亚等非接触式支付普及率较高但移动安全意识相对较低的地区。

地理分布表明，攻击者有意选择基于 NFC 的欺诈检测系统可能不发达的市场。此次行动标志着移动恶意软件能力与支付欺诈基础设施的一次重要融合。

与传统的银行卡盗刷或凭证盗窃不同，NFC 中继技术使欺诈者能够绕过物理安全要求、双因素身份验证机制以及依赖于持有验证的实时交易监控系统。

TX-NFC 和 NFU Pay 运营的专业化特征，体现在客户支持基础设施、订阅货币化和技术复杂性等方面，这表明这代表的是一个有组织的网络犯罪企业，而不是机会主义的恶意软件活动。

金融机构和支付处理商必须优先考虑移动终端安全、异常 NFC 中继模式的交易监控，以及开展公众宣传活动，警告消费者不要从不可信的来源安装金融应用程序。

技术报告：

《幽灵点击：追踪中国安卓点击支付恶意软件的兴起》

https://www.group-ib.com/blog/ghost-tapped-chinese-malware/

新闻链接：

Chinese Hackers Use NFC-Enabled Android Malware to Steal Payment Information

今日安全资讯速递

APT事件

Advanced Persistent Threat

与俄罗斯关联的APT组织利用 Viber 攻击乌克兰

Russia-linked APT UAC-0184 uses Viber to spy on Ukrainian military in 2025

APT36 又名 Transparent Tribe）利用恶意 Windows 快捷方式攻击印度

https://www.esecurityplanet.com/threats/apt36-uses-malicious-windows-shortcuts-to-target-indian-government/

黑客声称从欧洲航天局窃取了 200GB 数据

Hacker Claims 200GB Data Theft From European Space Agency — Here’s What We Know

HoneyMyte APT 组织通过内核模式 rootkit 和 ToneShell 后门不断演变

The HoneyMyte APT evolves with a kernel-mode rootkit and a ToneShell backdoor

Evasive Panda 网络间谍活动利用 DNS 投毒技术安装 MgBot 后门

Evasive Panda cyberespionage campaign uses DNS poisoning to install MgBot backdoor

银狐黑客利用所得税钓鱼诱饵攻击印度实体

Silver Fox Hackers Attacking Indian Entities with Income Tax Phishing Lures

一般威胁事件

General Threat Incidents

黑猫黑客组织利用伪造的 Notepad++ 网站传播恶意软件并窃取数据

Black Cat Hacker Group Uses Fake Notepad++ Websites to Distribute Malware and Steal Data

一名黑客利用信息窃取程序入侵50家全球公司

Lone Hacker Used Infostealers to Access Data at 50 Global Companies

ToddyCat恶意软件利用ProxyLogon漏洞入侵微软Exchange服务器

ToddyCat Malware Compromises Microsoft Exchange Servers using ProxyLogon Vulnerability

Chrome扩展程序窃取AI聊天数据，90万用户受到影响

https://www.esecurityplanet.com/threats/900000-users-hit-as-chrome-extensions-steal-ai-chat-data/

GoBruteforcer僵尸网络攻击全球Linux服务器

GoBruteforcer Botnet Attacking Linux Servers Worldwide – 50,000 Internet-facing Servers at Risk

CrazyHunter勒索软件利用复杂的规避策略攻击医疗保健行业

CrazyHunter Ransomware Targets Healthcare Sector Using Sophisticated Evasion Tactics

黑客利用恶意二维码通过 HTML 表格进行网络钓鱼

Hackers Using Malicious QR Codes for Phishing via HTML Table

微软警告：邮件路由配置错误可能导致内部域网络钓鱼

https://thehackernews.com/2026/01/microsoft-warns-misconfigured-email.html

虚假 Booking.com 诱饵和蓝屏死机骗局在欧洲酒店业蔓延

Fake Booking.com lures and BSoD scams spread DCRat in European hospitality sector

Windows Packer pkr_mtsi 利用多种恶意软件驱动大规模恶意广告活动

Windows Packer pkr_mtsi Powers Widespread Malvertising Campaigns with Multiple Malware

中文黑客利用支持NFC功能的安卓恶意软件窃取支付信息

Chinese Hackers Use NFC-Enabled Android Malware to Steal Payment Information

漏洞事件

Vulnerability Incidents

利用旧款 D-Link DSL 路由器中的关键远程代码执行漏洞的持续攻击

https://thehackernews.com/2026/01/active-exploitation-hits-legacy-d-link.html

Chrome“WebView”漏洞允许黑客绕过安全限制

Chrome “WebView” Vulnerability Allows Hackers to Bypass Security Restrictions

Ni8mare漏洞导致未经身份验证的用户能够控制n8n实例

Ni8mare flaw gives unauthenticated control of n8n instances

n8n 严重漏洞允许经认证的远程代码执行

Critical n8n Vulnerability Allows Authenticated Remote Code Execution

Veeam 修复 Backup & Replication 中的一个严重远程代码执行漏洞（CVE-2025-59470，CVSS 评级为 9.0）

Veeam resolves CVSS 9.0 RCE flaw and other security issues

TOTOLINK EX200 扩展器漏洞允许攻击者获得完全系统访问权限

TOTOLINK EX200 Extender Vulnerability Allow Attacker to Gain Full System Access

针对 Android/Linux 内核漏洞 CVE-2025-38352 的 PoC 利用程序已发布

PoC Exploit Released for Android/Linux Kernel Vulnerability CVE-2025-38352

macOS 严重漏洞使攻击者无需用户同意即可绕过苹果隐私控制

Critical macOS Flaw Lets Attackers Bypass Apple Privacy Controls Without Consent

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《讲中文的网络犯罪分子利用支持NFC功能的安卓恶意软件窃取支付信息》