SuperCard X 移动恶意软件:新型 Android 威胁如何劫持非接触式支付
一个名为SuperCard X的新发现移动恶意软件平台正在重新定义网络犯罪分子利用智能手机的方式,给银行、发卡机构和用户带来新的挑战。与传统的银行木马或网络钓鱼诈骗不同,该恶意软件引入了一种更先进、更隐蔽、更协调的攻击方法:近场通信 (NFC) 中继操纵。
SuperCard X 由一个中文威胁组织开发,被归类为恶意软件即服务 (MaaS)。简而言之,它是一个可供出租的网络犯罪工具包。该恶意软件利用Android智能手机的 NFC 功能,使攻击者能够获取卡片数据并进行欺诈交易,而无需实际接触受害者的卡片。
Table of Contents
骗局如何开始:社会工程学的核心
攻击始于一场令人信服的社会工程活动。受害者通常会收到一些虚假信息(通常通过短信或WhatsApp发送),声称这些信息来自他们的银行。这些消息会警告用户存在可疑活动,并提示收件人拨打特定号码。紧迫性和看似合法的攻击方式促使许多人在未核实消息来源的情况下就采取行动。
接下来是一种被称为“电话导向攻击传播” (TOAD)的方法。在通话中,诈骗者冒充银行代表,指示受害者安装他们所谓的安全应用程序。实际上,它是 SuperCard X 恶意软件的几个伪装版本之一,例如“Verifica Carta”、“SuperCard X”或“KingCard NFC”。
一旦安装,该应用程序就会请求敏感权限并与攻击者的系统建立链接。受害者有时会被诱骗透露PIN码或取消每日账户限额,这使得欺诈变得更加容易。
NFC:金融欺诈的新前沿
SuperCard X 的核心功能在于其对NFC 中继技术的创新运用。攻击者会诱使受害者将信用卡或借记卡放置在受感染的手机附近。然后,恶意软件会悄悄读取卡片传输的 NFC 数据,并将其实时转发到外部服务器。
在攻击者这边,一款名为“Tapper”的配套应用程序会利用窃取的信息模拟信用卡。犯罪分子随后可以使用这个虚拟克隆卡在ATM机上取款,或在非接触式终端上付款,就像真正的持卡人一样。
该方法对于非接触式 ATM 和 PoS 系统特别有效,它们依靠 NFC 数据进行身份验证,但无法轻易检测到卡是否被远程克隆。
幕后的基础设施
SuperCard X 不仅仅是一款应用程序,它更是一整套欺诈生态系统。在传播恶意软件之前,网络犯罪分子必须在平台上创建一个账户。每个恶意软件实例都与该账户关联,从而实现受感染用户设备(Reader)与犯罪分子设备(Tapper)之间的通信。
有趣的是,每个阅读器应用程序似乎都是针对特定活动定制的,登录界面略有不同。这表明,联盟威胁行为者正在针对不同的地区或机构定制应用程序。
设备之间的通信使用相互 TLS (mTLS)进行加密,这比移动恶意软件中常见的加密标准更进了一步。这一附加层可保护攻击者的命令与控制 (C2) 流量,使其不被发现。
更广泛的影响
SuperCard X 尤其令人担忧,不仅在于其技术上的独创性,更在于它对更广泛金融生态系统的影响。它绕过传统的在线身份验证,直接采用非接触式基础设施,从而开辟了一个相对不受保护的攻击面。
尽管此次攻击活动目前主要集中在意大利,但其底层技术很容易传播到其他国家。支付服务提供商、金融机构和移动操作系统开发商都是遏制这一威胁的潜在利益相关者。
据报道,为了应对这一情况,谷歌正在开发新的 Android 功能以降低此类风险。这些功能包括限制安装来自未知来源的应用程序或授予诸如辅助功能之类的敏感权限——尤其是在通话期间,而 TOAD 攻击通常发生在通话期间。
保持安全:用户实用技巧
目前,SuperCard X 尚未通过 Google Play 商店发售,但这并不意味着它没有风险。用户在安装来自第三方来源的应用时应保持谨慎,尤其是在通话过程中系统提示安装时。以下是一些关键预防措施:
- 除非绝对必要,否则避免安装来自未知来源的应用程序。
- 对声称来自银行的紧急信息保持怀疑——通过官方渠道验证。
- 保持 Google Play Protect 处于启用状态以检测潜在有害的应用程序。
- 在安装任何新程序之前,请仔细检查应用程序权限并查看评论。
SuperCard X 代表着移动金融欺诈在混合操纵、技术复杂性和隐蔽性方面的飞跃。虽然该恶意软件目前影响范围有限,但其潜在影响巨大——因此,提高意识和警惕是最好的第一道防线。
