近期，一款名为 SuperCard X 的新型恶意软件即服务（MaaS）平台出现，它主要针对 Android 设备，利用近场通信（NFC）中继攻击来窃取用户的信用卡信息，从而实现非法的销售点（POS）支付和自动取款机（ATM）取款操作。

SuperCard X 与一个中文 MaaS 平台有关，其代码与达姆施塔特工业大学开发的开源 NFCGate 工具以及 2024 年初针对捷克共和国的 NGate Android 恶意软件高度相似。它通过 Telegram 频道进行推广，并为“客户”提供直接支持，还根据不同地区的特定需求提供定制版本，如针对意大利用户的活动已发现了存在细微差异的多个样本。

攻击过程

初步接触：攻击者首先会向受害者发送伪装成银行发送的虚假短信或 WhatsApp 消息，声称受害者账户中存在可疑交易，要求其致电指定号码进行处理。

社会工程手段：当受害者拨打电话后，另一名伪装成银行客服的诈骗分子会接听电话。他们以解决可疑交易为由，诱导受害者“确认”其银行卡号和密码，并试图说服受害者通过银行应用程序取消银行卡的消费限制。

安装恶意软件：在获取了受害者的信任后，诈骗分子会进一步说服其在手机上安装一个名为“Reader”的恶意应用程序，该程序伪装成安全或验证工具，实际却隐藏着 SuperCard X 恶意软件。

窃取卡数据：安装完成后，“Reader”应用仅请求访问 NFC 模块的权限，这足以实施数据窃取。诈骗分子会指示受害者将支付卡靠近手机，以“验证”卡片，而恶意软件则借此读取卡芯片数据并发送给攻击者。

实施欺诈交易：攻击者在自己的 Android 设备上运行另一个名为“Tapper”的应用程序，该程序使用窃取的卡数据模拟受害者的银行卡。通过这种方式，攻击者可以在商店进行非接触式支付或在 ATM 机上取款，但由于交易金额限制，他们通常会进行小额、频繁的交易，以降低引起银行和受害者注意的风险。

技术特点

模块化架构：SuperCard X 采用了由两个部分组成的架构，包括安装在受害者设备上的 Reader 应用程序和由攻击者控制的 Tapper 应用程序。这两个组件通过基于 HTTP 协议的命令与控制（C2）基础设施进行通信，并且都需要身份验证凭据，以确保在各个 MaaS 附属机构之间实现正确的路由。

低检测率：该恶意软件目前尚未被任何 VirusTotal 上的杀毒引擎检测到。它只请求 android.permission.NFC 等基本权限，以及与基本应用功能相关的常规、不引人怀疑的权限，这使其能够保持异常低的被检测几率，从而绕过防病毒解决方案的启发式扫描。

证书认证：SuperCard X 的通信使用了相互传输层安全（mTLS）进行身份验证，以确保其 C2 通信的安全性，防止研究人员或执法部门的拦截和分析试图分析其操作。

安全机构及 Google 的回应

移动安全公司 Cleafy 发现了 SuperCard X，并报告称已在意大利看到了利用这种 Android 恶意软件进行的攻击。BleepingComputer 就 SuperCard X 活动联系了 Google，Google 发言人表示，根据目前的检测结果，Google Play 上未发现包含此恶意软件的应用。Android 用户受 Google Play Protect 保护，该保护默认开启在装有 Google Play Services 的 Android 设备上。Google Play Protect 可以警告用户或阻止已知具有恶意行为的应用，即使这些应用来自 Play 商店以外的来源。

资讯来源：bleepingcomputer

图片来源：Cleafy

转载请注明出处和本文链接