SuperCard Xモバイルマルウェア：新たなAndroid脅威が非接触型決済を乗っ取る仕組み

新たに発見されたモバイルマルウェアプラットフォーム「SuperCard X」は、サイバー犯罪者がスマートフォンを悪用する方法を根本から変え、銀行、カード発行会社、そしてユーザーにとって新たな課題となっています。従来のバンキング型トロイの木馬やフィッシング詐欺とは異なり、このマルウェアは、近距離無線通信（NFC）リレー操作という、より高度で巧妙かつ組織的な攻撃手法を導入しています。

中国語圏の脅威グループによって開発されたSuperCard Xは、MaaS（Malware-as-a-Service）に分類されます。つまり、有料のサイバー犯罪ツールキットです。AndroidスマートフォンのNFC機能を利用することで、攻撃者は被害者のカードに物理的にアクセスすることなく、カードデータを取得し、不正な取引を実行できます。

Table of Contents

詐欺の始まり：その核心はソーシャルエンジニアリング

攻撃は、説得力のあるソーシャルエンジニアリングキャンペーンから始まります。被害者は、多くの場合SMSやWhatsAppを介して、銀行を装った偽のメッセージを受け取ります。これらのメッセージは、不審な活動を警告し、受信者に特定の番号に電話するよう促します。緊急性と正当性を感じさせるメッセージに惑わされ、多くの人がメッセージの送信元を確認せずに行動を起こしてしまいます。

次に行われるのは、電話指向攻撃配信（TOAD）と呼ばれる手法です。詐欺師は電話で銀行員を装い、セキュリティアプリだと偽って被害者にインストールするよう指示します。実際には、「Verifica Carta」、「SuperCard X」、「KingCard NFC」など、SuperCard Xマルウェアの偽装バージョンのいずれかです。

アプリがインストールされると、機密情報へのアクセス権限を要求し、攻撃者のシステムとのリンクを確立します。被害者はPIN番号の開示やアカウントの1日あたりの利用制限の解除を強要されることもあり、これにより詐欺行為がはるかに容易になります。

NFC：金融詐欺の新たなフロンティア

SuperCard Xの機能の中核は、NFCリレー技術の斬新な利用です。攻撃者は、被害者にクレジットカードまたはデビットカードを感染したスマートフォンの近くに物理的に置かせます。すると、マルウェアはカードから送信されるNFCデータを密かに読み取り、外部サーバーにリアルタイムで転送します。

攻撃者側では、「Tapper」と呼ばれるコンパニオンアプリが盗んだ情報を使ってカードを模倣します。犯罪者はこの仮想クローンを使って、あたかも正規のカード所有者であるかのようにATMで現金を引き出したり、非接触型端末で支払いを行ったりすることができます。

この方法は、認証に NFC データを使用するものの、カードがリモートで複製されたことを簡単に検出できない非接触型 ATM や PoS システムに特に効果的です。

舞台裏のインフラ

SuperCard Xは単なるアプリではなく、詐欺エコシステム全体です。サイバー犯罪者はマルウェアを配布する前に、プラットフォーム上にアカウントを作成する必要があります。マルウェアの各インスタンスはこのアカウントにリンクされており、感染したユーザーデバイス（リーダー）と犯罪者のデバイス（タッパー）間の通信を可能にします。

興味深いことに、すべてのリーダーアプリは特定のキャンペーンに合わせてカスタマイズされており、ログインインターフェースがわずかに異なっています。これは、アフィリエイト型の脅威アクターが、異なる地域や機関を標的にするためにアプリをカスタマイズしていることを示唆しています。

デバイス間の通信は、モバイルマルウェアで一般的に使用される暗号化規格よりも高度な相互TLS（mTLS）を使用して暗号化されます。この追加レイヤーにより、攻撃者はコマンドアンドコントロール（C2）トラフィックを保護し、レーダーをすり抜けることができます。