零检出RelayNFC安卓恶意软件将手机变为远程读卡器

2025年11月26日，Cyble研究与情报实验室（CRIL）发现针对巴西移动支付用户的NFC中继恶意软件攻击活动正在快速演变。新发现的RelayNFC恶意软件家族可将受害者的安卓设备变成远程读卡器，使攻击者能够实施非接触式欺诈交易，如同物理卡片就在手中。

CRIL将RelayNFC描述为"轻量级但具有高度规避性的恶意软件，因其采用Hermes编译的载荷...能够隐秘窃取受害者卡片数据并实时中继至攻击者控制的服务器"。更令人担忧的是：当前样本在VirusTotal上显示零检出率，表明安全产品尚未识别该威胁。

调查显示至少存在五个钓鱼网站，均仿冒金融安全门户分发同一恶意APK，表明这是协同行动。这些网站包括：

hxxps://maisseguraca[.]site/

hxxp://proseguro[.]site/

hxxps://test.ikotech[.]online/

hxxps://maisseguro[.]site/

hxxp://maisprotecao[.]site/

报告指出，这些虚假页面通过"保护您的卡片"话术诱导受害者下载恶意软件。CRIL强调："传播完全依赖钓鱼手段，诱骗用户下载RelayNFC"。

该恶意软件采用React Native构建，其JavaScript代码被编译为Hermes字节码，大幅增加逆向工程难度。这种现代移动应用开发方式与巴西近期出现的Ngate、PhantomCard等金融恶意软件趋势一致。

安装后，恶意软件会启动钓鱼界面，指示用户将支付卡贴近手机（显示葡萄牙语提示"APROXIME O CARTÃO"）。CRIL确认："RelayNFC作为'读卡器'运行，能够捕获受害者卡片数据并中继至攻击者服务器"。随后还会索要并窃取受害者PIN码。

该恶意软件建立与C2服务器的持久WebSocket通道，实现实时APDU中继攻击——这与高级POS模拟器和卡片克隆操作使用的技术相同。握手阶段会声明自身为"读卡器"：

{ "type": "hello", "role": "reader", "id": "<device-uuid>"}

当攻击者通过欺诈性POS模拟器发起支付时，C2服务器会发送如下APDU指令：

{ "type": "apdu", "id": 1, "sessionId": "abc", "data": "00A40400"}

RelayNFC将APDU转发至受害者NFC芯片，获取卡片真实响应后回传C2：

{ "type": "apdu-resp", "id": 1, "sessionId": "abc", "data": "9000"}

CRIL解释称："这种实时双向中继...使攻击者能远程完成完整支付流程，如同受害者的卡片物理存在于其POS终端"。

研究人员还发现第二个样本"cartao-seguro.apk"，尝试通过Host Card Emulation（HCE）技术使设备模拟卡片而非读卡器，表明攻击者正在探索不同的NFC中继技术。巴西长期作为金融恶意软件的试验场，RelayNFC标志着通过受害者设备完全控制实时EMV交易中继的新威胁升级。