Des centaines d’applications malveillantes utilisent la technologie NFC et l’émulation de carte hôte pour intercepter des paiements et dérober des identifiants financiers sur Android.
Les experts de Zimperium Labs alertent sur une hausse massive de la fraude par relais NFC depuis avril 2024. Plus de 760 applications Android exploitent la communication en champ proche (NFC) et l’émulation de carte hôte (HCE) pour intercepter des données EMV, usurper des institutions financières et relayer des transactions bancaires frauduleuses. Ces campagnes illustrent la sophistication croissante des attaques contre les paiements sans contact.
Des campagnes coordonnées de vol de données
Les chercheurs ont observé que ces applications ciblent des banques, services de paiement et portails gouvernementaux dans le monde entier, avec un accent particulier sur les institutions russes, européennes (PKO, ČSOB, NBS), brésiliennes et sur Google Pay. Elles se font passer pour des applications officielles, incitant les victimes à les définir comme gestionnaires de paiement NFC par défaut. Une fois installées, elles interceptent les échanges APDU entre le terminal et l’appareil, exfiltrant les données EMV, les numéros de carte et les dates d’expiration vers des chaînes Telegram contrôlées par les opérateurs.
Certaines variantes fonctionnent comme des couples d’outils : un « scanner/piéger » chargé d’intercepter les transactions et un collecteur autonome pour exfiltrer les informations. Ces applications communiquent avec un serveur de commande et de contrôle (C2) capable d’enregistrer les appareils, relayer les requêtes de terminal, vérifier l’état du bot, envoyer des mises à jour ou des alertes Telegram, et exécuter des transactions à distance. L’automatisation et la modularité rendent la détection complexe.
Une infrastructure mondiale de commande et de contrôle
Zimperium a identifié plus de 70 serveurs C2 et plusieurs dizaines de bots Telegram actifs dans cette campagne. Ces infrastructures pilotent à distance les applications infectées, enregistrant en continu les appareils compromis et adaptant les commandes selon la réponse du terminal. Les opérateurs peuvent ainsi simuler des paiements sans contact réels, sans nécessiter l’intervention directe de l’utilisateur.
Les échanges APDU, cœur du protocole de communication entre carte et lecteur, sont intégralement interceptés, analysés puis répliqués. Les fraudeurs peuvent rejouer des transactions à partir des données volées, utilisant les identifiants des appareils pour personnaliser les sessions et contourner les vérifications comportementales des banques.
Cette architecture distribuée repose sur des serveurs hébergés dans plusieurs juridictions, compliquant le démantèlement. Les flux de commandes dynamiques et l’enregistrement continu des terminaux rendent l’analyse forensique difficile et retardent les réponses de sécurité.
Une menace liée à l’essor du sans contact
Le rapport de Zimperium souligne que la croissance des paiements NFC a ouvert de nouvelles opportunités aux cybercriminels. « Avec la croissance rapide des transactions sans contact, la technologie NFC est devenue une cible de plus en plus prisée », indiquent les chercheurs. Android autorise les applications à gérer les paiements NFC via l’émulation de carte hôte, fonction que les pirates détournent pour capturer les données avant qu’elles ne soient chiffrées ou transmises au processeur de paiement.
L’exploitation de ces autorisations légitimes rend les attaques particulièrement efficaces. En usurpant l’identité d’applications de confiance et en exploitant des interfaces natives, les malwares évitent les alertes de sécurité traditionnelles. Les auteurs diffusent leurs applications via des magasins non officiels ou des liens directs dans des messages Telegram et des forums de piratage.
Les chercheurs estiment que ces attaques reposent sur une combinaison d’ingénierie sociale et d’abus de fonctions système. Elles ciblent principalement les utilisateurs de terminaux Android ne disposant pas de correctifs récents ou utilisant des versions fragmentées du système d’exploitation.
Une réponse encore limitée
Zimperium recommande aux institutions financières et aux utilisateurs de considérer comme à haut risque toute application demandant l’autorisation de paiement NFC sans justification claire. Les experts préconisent également une surveillance renforcée des flux APDU et des connexions sortantes vers Telegram et d’autres messageries chiffrées.
L’écosystème Android reste vulnérable à ce type d’abus structurel, car la gestion des autorisations NFC repose sur la confiance de l’utilisateur final. Tant que les systèmes de vérification d’identité des applications ne seront pas centralisés, les campagnes de fraude par relais devraient continuer à croître.
Cette multiplication d’applications malveillantes utilisant le NFC et le HCE illustre un basculement des menaces : les cybercriminels délaissent le phishing traditionnel pour des attaques logicielles sophistiquées ciblant l’infrastructure même des paiements mobiles.
L’exploitation frauduleuse du NFC par des centaines d’applications Android démontre la vulnérabilité des paiements mobiles face à la manipulation logicielle. La question centrale reste ouverte : les éditeurs et autorités financières parviendront-ils à sécuriser le protocole NFC avant qu’il ne devienne le principal vecteur de vol de données bancaires ?
