全球性威脅蔓延態勢

一種針對近場通信（NFC）支付系統的復雜新型惡意軟件活動已演變為重大全球網絡安全威脅。該攻擊最初僅在東歐地區出現，如今已發展為全球性現象。ESET研究人員于2023年底首次在捷克銀行客戶中發現這一惡意活動，目前其已高效擴散至多個大洲。威脅呈現爆發式增長，ESET遙測數據顯示，與2024年下半年相比，2025年上半年NFC相關攻擊數量激增35倍。

這種急劇增長凸顯出網絡犯罪組織針對非接觸式支付基礎設施的攻擊具有快速適應和擴展能力，他們充分利用了移動支付技術的廣泛普及。攻擊方法結合了傳統社會工程學策略與先進的NFC操控技術，形成多層欺騙手段，對毫無戒備的受害者極為有效。

惡意軟件技術溯源

ESET研究人員確認該惡意軟件利用了NFCGate技術——這項技術最初由達姆施塔特工業大學安全移動網絡實驗室的學生開發為合法研究工具，現已被武器化用于金融欺詐。初始攻擊載體通過短信釣魚（SMS phishing）誘導受害者訪問虛假銀行網站，隨后部署可繞過傳統應用商店安全措施的惡意漸進式網絡應用（PWA）。

這些應用程序竊取銀行憑證后，會啟動基于語音的社會工程攻擊：犯罪分子冒充銀行員工誘騙受害者下載NGate惡意軟件。

NFC中繼攻擊技術解析

該惡意軟件的核心技術創新在于能在受害者設備與攻擊者控制系統之間建立無縫NFC中繼。安裝完成后，NGate會以PIN驗證或安全更新為借口，誘使受害者將支付卡片貼近智能手機的NFC讀卡器。在此過程中，惡意軟件會實時捕獲卡片NFC數據并中繼傳輸給遠程攻擊者。

中繼機制通過在受害者設備與攻擊者基礎設施間建立隱蔽通信通道運作，實質上創建了受害者支付卡的虛擬延伸。這使得網絡犯罪分子能將卡片功能克隆到自有設備上，無需物理占有原卡即可進行未授權交易。

該攻擊的復雜性還體現在其已演變為"幽靈點擊"（Ghost Tap）操作：被竊取的卡片數據會被植入大量經過編程的Android設備農場，在全球支付網絡中自動執行欺詐交易。