新型安卓恶意软件窃取您的信用卡进行 NFC 中继攻击

一款名为“SuperCard X”的新型恶意软件即服务（MaaS）平台已出现，通过 NFC 中继攻击针对 Android 设备，利用受损的支付卡数据实现销售点和 ATM 交易。

SuperCard X 与讲中文的威胁行为者有关联，其代码与开源项目 NFCGate 及其恶意衍生品 NGate 存在相似之处，后者自去年以来在欧洲协助了攻击活动。

恶意软件即服务平台通过 Telegram 频道推广，这些频道还为“客户”提供直接支持。

移动安全公司 Cleafy 发现了 SuperCard X，该公司报告称在意大利发现了利用这种 Android 恶意软件的攻击。这些攻击涉及多个样本，具有细微差异，表明分销商可以选择定制构建，以满足区域或其他特定需求。

SuperCard X 攻击是如何展开的

攻击从受害者收到一条假冒的短信或 WhatsApp 消息开始，该消息冒充他们的银行，声称他们需要拨打一个号码来解决由可疑交易引起的问题。

电话被冒充银行客服的骗子接听，他利用社会工程学技巧诱骗受害者“确认”他们的卡号和 PIN 码。然后他们试图说服用户通过他们的银行应用取消消费限额。

最后，威胁行为者说服用户安装一个伪装成安全或验证工具的恶意应用（Reader），该工具包含 SuperCard X 恶意软件。

安装后，Reader 应用仅请求最少的权限，主要是访问 NFC 模块，这足以进行数据盗窃。

骗子指示受害者将他们的支付卡轻触到手机上以验证卡片，允许恶意软件读取卡芯片数据并发送给攻击者。

攻击者在其运行的名为 Tapper 的 Android 设备上接收这些数据，该应用使用被盗数据模拟受害者的卡片。

这些“模拟”卡片使攻击者能够在商店进行无接触支付以及在 ATM 机取款，尽管有金额限制。由于这些小额交易即时且对银行来说看似合法，因此更难被标记和撤销。

逃避性恶意软件

Cleafy 指出，SuperCard X 目前在 VirusTotal 上没有被任何杀毒引擎标记，且没有风险权限请求和屏幕叠加等激进攻击功能，确保它不会出现在启发式扫描的雷达上。

卡仿真基于 ATR（复位应答），这使得卡片对支付终端看起来是合法的，并展示了技术成熟度和对智能卡协议的理解。

另一个值得注意的技术方面是使用基于证书的客户端/服务器身份验证的相互 TLS（mTLS），确保 C2 通信免受研究人员或执法机构的拦截和分析。

BleepingComputer 联系谷歌就 SuperCard X 活动发表评论，一位发言人发布了以下声明。

根据我们目前的检测，谷歌 Play 商店中没有发现含有这种恶意软件的应用。安卓用户通过谷歌 Play Protect 自动受到保护，该功能在带有谷歌 Play 服务的安卓设备上默认开启。谷歌 Play Protect 可以警告用户或阻止已知表现出恶意行为的应用，即使这些应用来自 Play 以外的来源。” – 谷歌发言人。