zLabs, la division de recherche de Zimperium, publie aujourd’hui une nouvelle étude sur l’augmentation rapide et mondiale des malwares NFC Relay. Cette menace exploite la fonction Host Card Emulation (HCE) d’Android pour détourner des données de paiement et effectuer des transactions frauduleuses de type paiement sans contact (tap to pay). Observée pour la première fois en avril 2024, cette campagne s’est depuis étendue à plus de 760 applications malveillantes, exploitant plus de 70 serveurs de commande et de contrôle, des dizaines de bots et canaux Telegram. Ces outils ont été utilisés pour usurper l’identité de banques et de services gouvernementaux locaux en Russie, Pologne, République Tchèque, Slovaquie, Brésil, …
Tribune – Les analyses de zLabs ont mis en évidence plusieurs modes opératoires : certaines applications agissent comme des outils de numérisation ou de « tap », connectés à des terminaux de paiement (POS), tandis que d’autres collectent discrètement les informations EMV (Europay, Mastercard, Visa) et les identifiants d’appareils pour les transmettre aux hackers via Telegram.
Les cybercriminels incitent souvent les utilisateurs à définir l’application malveillante comme méthode de paiement NFC par défaut, tandis que des services en arrière-plan interceptent les événements NFC pour relayer des réponses APDU (Application Protocol Data Unit) falsifiées afin d’effectuer des paiements frauduleux.
Principales conclusions :
- Plus de 760 applications malveillantes observées depuis avril 2024.
- Plus de 70 serveurs de commande et de contrôle et de nombreux canaux de distribution identifiés.
- Des dizaines de bots et canaux Telegram privés utilisés pour l’exfiltration et la coordination de données.
- Environ 20 institutions usurpées, dont des banques centrales, des grandes banques de détail et des processeurs de paiement.
- Les familles de malwares réutilisent le même code source, repackagé sous différents noms et leurres locaux afin de tromper les utilisateurs.
Les cybercriminels exploitent la technologie HCE d’Android pour imiter des applications de paiement légitimes et relayer les requêtes des terminaux de paiement vers des serveurs distants, qui renvoient des réponses APDU spécialement conçues. Les commandes échangées entre les applications et les serveurs C2 incluent : login/register, apdu_command/apdu_response, card_info et telegram_notification, permettant une fraude en temps réel avec une interaction minimale de l’utilisateur.
« Les attaquants font du « tap-to-pay » une plateforme mondiale de fraude en exploitant les technologies NFC et HCE. Il ne s’agit plus d’expériences isolées, mais d’une chaîne d’attaques structurée et évolutive qui cible l’écosystème de paiement au niveau des appareils. La détection et la protection en temps réel sont essentielles pour stopper ces campagnes directement là où elles opèrent : sur les terminaux mobiles. » a déclaré Nico Chiaraviglio, Chief Scientist chez Zimperium.
Pour plus d’informations, rendez-vous ICI
