全球性威胁蔓延态势

一种针对近场通信（NFC）支付系统的正罪新复杂新型恶意软件活动已演变为重大全球网络安全威胁。该攻击最初仅在东欧地区出现
 ，成网如今已发展为全球性现象。络犯ESET研究人员于2023年底首次在捷克银行客户中发现这一恶意活动
，目标目前其已高效扩散至多个大洲。恶意威胁呈现爆发式增长 ，攻击ESET遥测数据显示，亿华云数量与2024年下半年相比，半年倍2025年上半年NFC相关攻击数量激增35倍。激增

这种急剧增长凸显出网络犯罪组织针对非接触式支付基础设施的正罪新攻击具有快速适应和扩展能力，他们充分利用了移动支付技术的成网广泛普及 。攻击方法结合了传统社会工程学策略与先进的模板下载络犯NFC操控技术，形成多层欺骗手段
，目标对毫无戒备的恶意受害者极为有效 
。

恶意软件技术溯源

ESET研究人员确认该恶意软件利用了NFCGate技术——这项技术最初由达姆施塔特工业大学安全移动网络实验室的攻击学生开发为合法研究工具，现已被武器化用于金融欺诈 。源码库初始攻击载体通过短信钓鱼（SMS phishing）诱导受害者访问虚假银行网站 ，随后部署可绕过传统应用商店安全措施的恶意渐进式网络应用（PWA）。

这些应用程序窃取银行凭证后，会启动基于语音的社会工程攻击：犯罪分子冒充银行员工诱骗受害者下载NGate恶意软件。

NFC中继攻击技术解析

该恶意软件的服务器租用核心技术创新在于能在受害者设备与攻击者控制系统之间建立无缝NFC中继
。安装完成后，NGate会以PIN验证或安全更新为借口，诱使受害者将支付卡片贴近智能手机的NFC读卡器。在此过程中 ，恶意软件会实时捕获卡片NFC数据并中继传输给远程攻击者。高防服务器

中继机制通过在受害者设备与攻击者基础设施间建立隐蔽通信通道运作，实质上创建了受害者支付卡的虚拟延伸 。这使得网络犯罪分子能将卡片功能克隆到自有设备上，无需物理占有原卡即可进行未授权交易 。

该攻击的复杂性还体现在其已演变为"幽灵点击"（Ghost Tap）操作：被窃取的香港云服务器卡片数据会被植入大量经过编程的Android设备农场，在全球支付网络中自动执行欺诈交易 
。