Ogromny wzrost malware typu NFC relay: złodzieje kradną karty płatnicze Europejczyków

Wprowadzenie do problemu / definicja luki

W ostatnich miesiącach badacze zaobserwowali gwałtowny wzrost kampanii z wykorzystaniem tzw. NFC relay malware – złośliwych aplikacji, które nadużywają funkcji Host Card Emulation (HCE) w Androidzie, by przechwytywać i przekazywać w czasie rzeczywistym dane potrzebne do realizacji transakcji zbliżeniowych. Analizy wskazują na szczególnie dużą skalę zjawiska w Europie Środkowo-Wschodniej, co pokrywa się z najnowszymi doniesieniami branżowymi.

W skrócie

• Skala: zidentyfikowano ponad 760 złośliwych aplikacji nadużywających NFC/HCE od 2024 r., a trend w 2025 r. przez cały czas przyspiesza.
• Region: szczególnie narażona jest Europa (m.in. Czechy, Słowacja, Włochy), gdzie odnotowano kampanie wykorzystujące różne warianty „relay”.
• Vektory: ataki łączą HCE/NFC relay z typowymi technikami trojanów bankowych (overlay, ATS, uprawnienia Dostępności).
• Cel: kradzież danych kart, ich „wirtualizacja” w portfelach mobilnych oraz wykonywanie zdalnych transakcji zbliżeniowych bez fizycznej karty ofiary.

Kontekst / historia / powiązania

Pierwsze głośne przypadki nadużyć NFC/HCE w Europie raportowano już pod koniec 2023 r. – m.in. w Czechach, gdzie ESET opisał scenariusz łączący phishing, malware na Androida i przekazywanie ruchu NFC do wypłat z bankomatów. W 2024 r. badacze ESET nazwali komponent NGate i ostrzegali przed eskalacją metod. Wiosną 2025 r. włoski CERT-INCIBE opisał SuperCard X, narzędzie używane w kampanii przeciwko klientom banków we Włoszech. Równolegle firmy analityczne odnotowały dynamiczny wzrost zagrożeń mobilnych, w tym wariantów łączących NFC relay z innymi modułami finansowymi.

Analiza techniczna / szczegóły luki

Model ataku NFC relay na Androidzie (HCE):

1. Dystrybucja: aplikacje podszywające się pod popularne serwisy (np. zmodyfikowane aplikacje wideo 18+) zachęcają do sideloadingu. Po instalacji żądają uprawnień Dostępności i dodatkowych komponentów.
2. Impersonacja/Emulacja: malware wykorzystuje Host Card Emulation do odtwarzania zachowania legalnych portfeli płatniczych i generowania odpowiedzi APDU potrzebnych w procesie płatności bezstykowych.
3. Relay w czasie rzeczywistym: dane transakcyjne (np. z tokenizacji karty lub tymczasowych danych płatniczych) są przesyłane do zdalnego urządzenia napastnika, które w tym samym czasie inicjuje transakcję przy terminalu POS/ATM.
4. „Waletyzacja” danych: część grup próbuje dodać kartę ofiary do mobilnego portfela atakującego (wymagany OTP bywa wyłudzany socjotechniką), co pozwala wykonywać płatności „jak właściciel”.
5. ATS/Overlay: nowocześniejsze kampanie (np. opisany przez ThreatFabric RatOn) łączą relay z Automated Transfer System (ATS) i nakładkami logowania do bankowości, co rozszerza monetyzację o przelewy i kradzież seedów krypto-portfeli.

Dlaczego to działa?
Relay „oszukuje” zaufanie do krótkiego zasięgu NFC. Terminal płatniczy „widzi” prawidłową sekwencję wymiany APDU, chociaż karta/telefon ofiary znajduje się zupełnie gdzie indziej – co utrudnia wykrycie anomalii przez klasyczne reguły antifraudowe.

Praktyczne konsekwencje / ryzyko

• Nieautoryzowane płatności zbliżeniowe bez fizycznej utraty karty/telefonu – trudne do zakwestionowania, jeżeli brakuje silnych reguł wzbogacających (lokalizacja, profil urządzenia).
• Dodanie karty do portfela napastnika (Apple/Google Wallet) i szybkie „wypalenie” limitu transakcji – często po uzyskaniu OTP socjotechniką.
• Kradzież poświadczeń i środków z aplikacji bankowych/krypto przy kampaniach łączonych (overlay + ATS + NFC).
• Wizerunkowe i finansowe skutki dla banków/acquirerów – wzrost chargebacków i kosztów fraudu, potrzebne korekty reguł ryzyka.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (Android):

• Instaluj wyłącznie z Google Play, włącz Play Protect, unikaj sideloadingu i aplikacji „premium” spoza sklepu.
• Weryfikuj uprawnienia Dostępności – nie przyznawaj ich aplikacjom, które ich nie potrzebują.
• Zachowaj ostrożność wobec OTP – bank/portfel nie prosi o kody do „weryfikacji urządzenia” przez telefon/komunikator.
• Wyłącz NFC, gdy nie używasz płatności zbliżeniowych; rozważ blokadę dodawania karty do portfela bez dodatkowej weryfikacji.

Dla banków, fintechów i akceptantów:

• Tuning reguł antifraudowych dla HCE/NFC: korelacja geolokalizacji urządzenia klienta z lokalizacją POS (sklepy, MCC, miasto), analiza czasu „od tokenizacji do transakcji”, fingerprint urządzenia kontra profil klienta.
• Wymuszaj silniejsze step-upy przy dodawaniu karty do portfela (risk-based OTP, push-to-app, biometria behawioralna) i monitoruj nadużycia OTP.
• Wykrywaj overlay/ATS w aplikacjach mobilnych (RASP, integrity checks, detekcja usług Dostępności, emulatorów, zdalnego sterowania).
• Hunting kampanii: IOC-y z najnowszych raportów (SuperCard X, RatOn, NGate), feedy TI i korelacja z telemetryką fraudową.
• Edukacja klientów: kampanie o ryzykach sideloadingu i wyłudzania OTP, jasna ścieżka zgłaszania sporów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W klasycznych trojanach bankowych dominują overlay + SMS/ats. W NFC relay najważniejsze jest zdalne „przedłużenie” kanału zbliżeniowego, co pozwala płacić bez posiadania karty/urządzenia i bez typowych wskaźników kompromitacji (brak logowania do bankowości na urządzeniu atakującego). Nowsze kampanie łączą oba światy (relay + ATS), podnosząc skuteczność i trudność detekcji.

Podsumowanie / najważniejsze wnioski

• NFC relay przestał być ciekawostką – to przemysłowa technika nadużycia płatności bezstykowych w Europie.
• Nadużycia HCE i dodawanie kart do mobilnych portfeli ofiary lub napastnika to dziś realny wektor strat.
• Obrona wymaga połączonego podejścia: higiena instalacji po stronie użytkownika oraz ryzyko-adaptacyjne reguły antifraudowe i zabezpieczenia aplikacji po stronie instytucji finansowych.

Źródła / bibliografia

1. BleepingComputer: „Massive surge of NFC relay malware steals Europeans’ credit cards” (30 października 2025). (BleepingComputer)
2. Zimperium zLabs: „Tap-and-Steal: The Rise of NFC Relay Malware on Mobile Devices” (2024–2025, aktualizacje). (zimperium.com)
3. ESET (press): „ESET Research discovers NGate Android malware which relays NFC traffic…” (22 sierpnia 2024). (ESET)
4. INCIBE-CERT: „SuperCard X: Android malware uses NFC to steal credit cards” (2 maja 2025). (incibe.es)
5. Cleafy: „How NFC relay malware is breaking contactless payments and what banks must do now” (2025). (cleafy.com)