文章总结： 攻击者利用植入NGate变种的安卓NFC应用HandyPay窃取支付数据与PIN码，克隆卡片盗刷账户。该手法将合法应用木马化以隐蔽执行NFC中继，代码中还发现疑似AI生成痕迹。建议用户拒绝非官方应用安装，安全团队可结合ESET发布的哈希与ATT&CK指标进行威胁狩猎与精准检测。 综合评分： 76 文章分类： 恶意软件,移动安全,数据泄露,威胁情报

黑客篡改安卓NFC应用窃取支付数据，克隆卡片盗刷账户

FreeBuf

2026年4月27日 18:05 上海

在小说阅读器读本章

去阅读

#

网络犯罪分子正滥用一款被植入木马的安卓支付应用HandyPay，窃取近场通信（NFC）数据和个人识别码（PIN），进而克隆支付卡并清空受害者账户。ESET研究人员发现，NGate恶意软件的新变种已植入该NFC中继应用，可将NFC数据传输至攻击者设备，用于非接触式ATM取现。

#

Part01

合法应用沦为犯罪工具

ESET指出，这标志着NGate运营商从定制工具转向了木马化的合法应用。原本用于设备间NFC数据中继的HandyPay应用，因所需权限极少且符合常规支付流程，成为理想的攻击载体。研究人员表示，攻击者通过重用现有NFC应用中继功能，直接继承了核心数据交换处理能力，无需从头开发定制工具。

NFC中继应用能实时捕获卡片的非接触通信信号，并通过网络转发至远程设备，从而突破近场通信的距离限制。由于该应用运行在常规NFC流程中，攻击者更易掩盖恶意行为。传播渠道包括仿冒巴西”Rio de Premios”彩票的虚假网站，以及推广”卡片保护”工具的伪造Google Play页面。

Part02

生成式AI疑似参与开发

研究人员在恶意代码内部发现了异常痕迹：调试日志中的表情符号标记更常见于AI生成内容。虽然这不构成确凿证据，但符合攻击者利用大语言模型加速恶意软件开发的趋势。自2025年11月起，攻击者通过上述渠道向巴西安卓用户分发两个恶意样本。

安卓系统虽通过安全警报提供基础防护，但用户仍需手动启用”允许此来源安装”才能完成木马化HandyPay的安装——该应用未在Google Play上架。ESET已在GitHub仓库共享包括文件哈希、网络指标和MITRE ATT&CK映射在内的检测指标。

参考来源：

NFC tap-to-pay gets tapped by hackers

https://www.csoonline.com/article/4161983/nfc-tap-to-pay-gets-tapped-by-hackers.html

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《黑客篡改安卓NFC应用窃取支付数据，克隆卡片盗刷账户》