一个名为 SuperCard X 的新 Android 恶意软件即服务 (MaaS) 平台可以促进近场通信 (NFC) 中继攻击,使网络犯罪分子能够进行欺诈性提现。
欺诈预防公司 Cleafy 在一项分析中表示,这项积极的活动针对意大利的银行机构和发卡机构的客户,旨在破坏支付卡数据。有证据表明,该服务在 Telegram 频道上进行推广。
安全研究人员 Federico Valentini、Alessandro Strino 和 Michele Roviello 表示,SuperCard X“采用多阶段方法,将社会工程(通过短信钓鱼和电话)、恶意应用程序安装和 NFC 数据拦截相结合,以实现高效的欺诈”。
据观察,新的 Android 恶意软件是由一个讲中文的威胁行为者制作的,它通过三个不同的虚假应用程序进行传播,通过欺骗性 SMS 或 WhatsApp 消息等社会工程技术欺骗受害者安装它们 -
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- 超级卡 X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
这些消息冒充银行安全警报,通过敦促收件人拨打特定号码对交易提出异议来诱发虚假的紧迫感。
然后,感染链进入所谓的面向电话的攻击传递 (TOAD),威胁行为者通过直接电话交谈,以安全软件为幌子纵受害者安装应用程序。还发现威胁行为者采用有说服力的策略来收集受害者的 PIN 并指示他们取消任何现有的卡限制,从而让他们轻松耗尽资金。
该作的核心是一种以前未记录的 NFC 中继技术,该技术使威胁行为者能够通过拦截和中继来自受感染设备的 NFC 通信,欺诈性地授权销售点 (PoS) 支付和自动柜员机 (ATM) 提款。
为此,攻击者敦促受害者将他们的借记卡或信用卡靠近他们的移动设备,然后允许 SuperCard X 恶意软件悄悄捕获传输的卡详细信息并将其中继到外部服务器。然后,收集到的卡信息将在威胁行为者控制的设备上用于进行未经授权的交易。
分发给受害者以捕获 NFC 卡数据的应用程序称为 Reader。威胁行为者的设备上安装了一个名为 Tapper 的类似应用程序来接收卡信息。Reader 和 Tapper 之间的通信是使用 HTTP 进行命令和控制 (C2) 进行的,并且需要网络犯罪分子登录。
因此,威胁行为者需要在分发恶意应用程序之前在 SuperCard X 平台内创建一个帐户,然后指示受害者输入在通话期间提供给他们的登录凭据。
此步骤是整体攻击中的关键齿轮,因为它在受害者的受感染设备和威胁行为者的 Tapper 实例之间建立了链接,然后使卡数据能够中继以进行后续提现。Tapper 应用程序还旨在使用被盗数据模拟受害者的卡,从而欺骗 PoS 终端和 ATM 将其识别为合法卡。
Cleafy 识别的“Reader”恶意软件工件在登录屏幕中带有细微的差异,表明它们是由附属行为者生成的自定义构建,以根据他们的需要定制活动。此外,SuperCard X 使用双向 TLS (mTLS) 来保护与其 C2 基础设施的通信。
谷歌并没有忽视这种威胁行为者可能会欺骗毫无戒心的用户通过电话更改关键设置,据说谷歌正在开发一项新的 Android 功能,该功能可以有效地阻止用户安装来自未知来源的应用程序并授予辅助功能服务的权限。
虽然目前没有证据表明 SuperCard X 是通过 Google Play 商店分发的,但建议用户在下载之前仔细检查应用程序描述、权限和评论。此外,建议保持启用 Google Play 保护机制,以保护设备免受新出现的威胁。
研究人员说:“这种新颖的活动引入了一种重大的金融风险,它超出了银行机构的传统目标,直接影响了支付提供商和信用卡发卡机构。
“恶意软件和 NFC 中继的创新组合使攻击者能够使用借记卡和信用卡进行欺诈性提现。这种方法表现出很高的效率,尤其是在针对非接触式 ATM 取款时。
信息来源:https://thehackernews.com/2025/04/supercard-x-android-malware-enables.html
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局