安卓恶意软件 SuperCard X 利用 NFC 中继技术实施电信诈骗活动

名为“SuperCard X”的复杂 Android 恶意软件活动对全球金融机构和持卡人构成重大威胁。

这种恶意软件采用近场通信 (NFC) 中继技术，使攻击者能够通过拦截和中继来自受感染设备的 NFC 通信，以欺诈方式授权销售点 (POS) 付款并执行自动柜员机 (ATM) 取款。

该恶意软件通过精心策划的欺诈计划进行运作，将社会工程策略与技术利用相结合，在受害者的支付卡和攻击者的设备之间建立无缝桥梁，无论其物理位置如何。

与专注于凭证盗窃或屏幕覆盖的传统银行木马不同，SuperCard X 代表了移动威胁的演变，它的目标是支付卡和终端之间的物理通信层。

该恶意软件通过精心设计的社会工程活动进行传播，受害者会收到冒充银行安全警报的可疑交易欺骗性信息。

当受害者拨打提供的号码时，他们会在不知不觉中与攻击者接触，攻击者会引导他们完成一系列操作，最终导致他们的支付凭证被泄露。

Cleafy Threat Intelligence 的研究人员发现，此次攻击活动是更广泛的中文恶意软件即服务 (MaaS) 平台的一部分。

分析报告显示，SuperCard X 与开源 NFCGate 工具以及 2024 年初针对捷克共和国的另一款名为 NGate 的 Android 恶意软件之间存在显著的代码相似性。

SuperCard X 的独特之处在于其专注于 NFC 中继功能，并尽量减少附加功能，从而使其能够保持异常低的检测率。

这种威胁的影响超出了传统的银行欺诈模式，因为它直接针对支付卡交易而不是特定的银行机构。

这种操作方式意味着几乎任何发卡机构的客户都可能成为受害者。

此外，这些交易的即时性——类似于“即时支付”，但可以立即获得商品、服务或现金——为欺诈者创造了双重优势：快速的资金流动和即时的交易利益。

完整的诈骗场景按照精心策划的顺序展开。攻击者通过短信或 WhatsApp 进行初步联系，随后操控手机，诱骗受害者在智能手机上安装恶意“阅读器”应用程序。

然后，受害者被指示将他们的支付卡贴在受感染的手机上，不知不觉地通过恶意软件将他们的卡数据传输到攻击者的“Tapper”设备，该设备可以在远程位置立即执行欺诈交易。

NFC中继攻击的技术架构

SuperCard X 恶意软件采用双组件架构，包括安装在受害者设备上的“Reader”应用程序和由攻击者控制的“Tapper”应用程序。

这些组件通过 MaaS 平台提供的命令和控制 (C2) 基础设施通过 HTTP 协议进行通信。

为了确保各个MaaS附属机构之间的正确路由，这两个应用程序都需要身份验证凭据，攻击者会在社会工程阶段预先生成这些凭据并将其提供给受害者。

该恶意软件的技术复杂性体现在其嵌入的文件中，该文件包含多个重置应答 (ATR) 消息，这些消息通常用于启动智能卡和NFC 阅读器之间的通信参数。

通过利用这些 ATR，SuperCard X 可以欺骗 POS 终端或 ATM，使其将攻击者的设备识别为合法的物理卡，从而有效地绕过接近度限制。

SuperCard X 通过简约的权限模型保持其隐秘性，主要仅请求必要的 android.permission.NFC 权限以及与基本应用程序功能相关的标准、非可疑权限。

这种对请求权限的刻意限制使其能够在保持良性配置文件的同时执行其恶意核心功能，导致防病毒解决方案的检测率极低。

该恶意软件通过相互 TLS (mTLS) 身份验证与其 C2 基础设施进行通信，进一步保护其操作，防止未经授权的分析尝试。

针对特定活动的定制版本经过了修改，以简化用户体验并删除对 MaaS 平台 Telegram 频道的引用，这使得安全研究人员的归因更具挑战性。

技术报告：

https://www.cleafy.com/cleafy-labs/supercardx-exposing-chinese-speaker-maas-for-nfc-relay-fraud-operation

新闻链接：

https://cybersecuritynews.com/new-android-supercard-x-malware-employs-nfc-relay-technique/