За останні кілька років популярність безконтактних мобільних платежів значно зросла. Багато в чому це пов'язано з появою технології HCE (Host-based Card Emulation), що дозволяє емулювати NFC-карти на мобільних пристроях, використовуючи спеціальне програмне забезпечення. Технологія HCE стала доступною широкому загалу з виходом Android KitKat 4.

Як вважалося раніше, клонувати віртуальну карту технічно неможливо, проте фахівці компанії SecuRing продемонстрували метод атаки, що дозволяє клонувати дані чужий безконтактної платіжної карти, копіювати їх в інший смартфон і використовувати для здійснення безконтактного мобільного платежу.

Як пояснили дослідники, для того, щоб отримати доступ до даних карти, що зберігається на смартфоні, атакуючий повинен мати доступ з правами суперкористувача на пристрої. Крім того, для кожної карти передбачені свої захисні заходи, для обходу яких потрібен індивідуальний підхід. Після того, як атакуючий успішно клонував дані карти, він може використовувати власне мобільний пристрій для здійснення безконтактного платежу.

За словами експертів, в зоні ризику знаходиться будь-який додаток з підтримкою HCE, в тому числі додатки безконтактних мобільних платежів для Android і Windows Phone. Мобільна платформа iOS не підтримує HCE, так як Apple воліє власні пропрієтарні рішення, використовуючи для кодування даних свій власний кріптопроцессор і нікому не розкриваючи його ключі.

У PoC-відео експерти продемонстрували атаку на додаток Android Pay. За їх словами, представлений метод зачіпає і інші платіжні додатки. У зв'язку з тим, що в кожному додатку реалізована своя захист, процес клонування даних не є універсальним, тому здійснити великомасштабні атаки буде досить складно. Проте, розробники мобільного шкідливого ПЗ можуть використовувати можливість клонування і адаптувати шкідливу програму під певний додаток, так само, як це відбувається у випадку з банківськими троянами.