SuperCard X 行動惡意軟體:新型 Android 威脅如何劫持非接觸式支付
新發現的行動惡意軟體平台SuperCard X正在重新定義網路犯罪分子利用智慧型手機的方式,對銀行、發卡機構和用戶都構成新的挑戰。與傳統的銀行木馬或網路釣魚詐騙不同,這種惡意軟體引入了一種更先進、更微妙、更協調的攻擊方法:近場通訊 (NFC) 中繼操縱。
SuperCard X 由一個中文威脅組織開發,被歸類為惡意軟體即服務 (MaaS) 產品。簡而言之,這是一個可供出租的網路犯罪工具包。透過利用Android智慧型手機的 NFC 功能,該惡意軟體使攻擊者能夠捕獲卡片資料並進行詐騙交易,而無需實體存取受害者的卡片。
Table of Contents
騙局如何開始:社會工程的核心
攻擊始於令人信服的社會工程活動。受害者會收到欺騙性訊息——通常透過簡訊或WhatsApp發送——聲稱來自他們的銀行。這些訊息警告可疑活動並提示收件者撥打特定號碼。緊迫性和合法性的表象促使許多人在未核實消息來源的情況下就採取行動。
接下來是一種稱為「電話導向攻擊傳遞」 (TOAD)的方法。在通話中,詐騙者冒充銀行代表並指示受害者安裝他們聲稱的安全應用程式。實際上,它是 SuperCard X 惡意軟體的幾個偽裝版本之一,例如「Verifica Carta」、「SuperCard X」或「KingCard NFC」。
一旦安裝,該應用程式就會請求敏感權限並與攻擊者的系統建立連結。受害者有時會被說服透露他們的 PIN 碼或取消每日帳戶限額,這使得詐欺變得更加容易。
NFC:金融詐欺的新前沿
SuperCard X 功能的核心是其對NFC 中繼技術的創新使用。攻擊者說服受害者將他們的信用卡或金融卡放在受感染的手機附近。然後,惡意軟體會悄悄讀取卡片傳輸的 NFC 資料並將其實時轉送到外部伺服器。
在攻擊者方面,一款暱稱「Tapper」的配套應用程式使用竊取的資訊來模擬該卡。然後,犯罪分子可以使用這個虛擬克隆人在 ATM 機上提取現金或在非接觸式終端上付款,就好像他們是合法持卡人一樣。
此方法對於非接觸式 ATM 和 PoS 系統特別有效,它們依靠 NFC 資料進行身份驗證,但無法輕易偵測到卡片是否被遠端複製。
幕後的基礎設施
SuperCard X 不僅僅是一款應用程序,它是一個完整的反詐騙生態系統。在傳播惡意軟體之前,網路犯罪分子必須在平台上建立一個帳戶。每個惡意軟體實例都與該帳戶相鏈接,從而實現受感染用戶設備(Reader)與犯罪分子設備(Tapper)之間的通訊。
有趣的是,每個閱讀器應用程式似乎都是針對特定活動量身定制的,其登入介面略有不同。這表明附屬威脅行為者正在定制應用程式以針對不同的地區或機構。
裝置之間的通訊使用相互 TLS (mTLS)進行加密,這比行動惡意軟體中常見的加密標準更進了一步。這一附加層可保護攻擊者的命令和控制 (C2) 流量,從而幫助他們保持低調。
更廣泛的影響
SuperCard X 尤其令人擔憂的不僅是它的技術創新,還有它對更廣泛的金融生態系統的影響。透過繞過傳統的線上身分驗證並直接採用非接觸式基礎設施,它開闢了一個相對不受保護的攻擊面。
儘管迄今為止,這項活動的重點是義大利,但背後的技術很容易傳播到其他國家。支付提供者、金融機構和行動作業系統開發商都是遏制這一威脅的潛在利益相關者。
據報道,作為回應,Google正在開發新的 Android 功能來降低此類風險。這些措施包括限制安裝來自未知來源的應用程式或授予敏感權限(如可訪問性),尤其是在通話期間,此時通常會發生 TOAD 攻擊。
保持安全:使用者實用技巧
目前,SuperCard X 尚未透過 Google Play Store 分發,但這並不意味著它沒有風險。用戶在安裝來自第三方來源的應用程式時應保持謹慎,尤其是在通話過程中被提示安裝時。以下是一些關鍵的預防措施:
- 除非絕對必要,否則避免安裝來自未知來源的應用程式。
- 對聲稱來自銀行的緊急資訊保持懷疑——透過官方管道驗證。
- 保持 Google Play Protect 處於啟用狀態以偵測潛在有害的應用程式。
- 在安裝任何新應用程式之前,請仔細檢查應用程式權限並查看評論。
SuperCard X 代表著行動金融詐欺、混合操縱、技術複雜性和隱密性的飛躍。雖然該惡意軟體目前範圍有限,但其潛在影響卻非常巨大——因此,提高意識和警覺性是最好的第一道防線。
