SuperCard X 移动恶意软件
一个名为 SuperCard X 的 Android 恶意软件即服务 (MaaS) 平台,此前鲜为人知,如今却在网络犯罪领域掀起波澜。该平台使攻击者能够发起近场通信 (NFC) 中继攻击,从而实现欺诈交易和 ATM 取款。该恶意软件以意大利的银行客户为目标,据信通过 Telegram 频道进行推广,并通过地下网络犯罪网络扩大其影响范围。
目录
欺骗性切入点:最恶劣的社会工程学
SuperCard X 采用多阶段攻击链,首先采用经典的社会工程学策略。攻击者通过冒充银行的短信钓鱼活动或虚假 WhatsApp 消息引诱受害者,警告用户存在可疑活动,并提示他们拨打电话号码。
一旦联系上,该策略就会升级为电话攻击传播 (TOAD)。在通话过程中,攻击者会诱骗受害者安装看似安全软件的应用程序。该策略中使用的应用程序包括:
- 验证宪章 (io.dxpay.remotenfc.supercard11)
- 超级卡X(io.dxpay.remotenfc.supercard)
- KingCard NFC(io.dxpay.remotenfc.supercard)
受害者还被操纵泄露 PIN 码并取消交易限制,为大规模金融盗窃奠定基础。
接力机制:该策略如何运作
SuperCard X 的核心是先进的 NFC 中继技术。其工作原理如下:
- 受害者被要求将他们的信用卡或借记卡靠近受感染的手机。
- 受害者手机上的阅读器应用程序捕获 NFC 传输的卡数据。
- 该信息通过 HTTP 发送到攻击者设备上的 Tapper 应用程序。
- Tapper 应用程序模拟被盗的卡数据,允许攻击者进行未经授权的 PoS 或 ATM 交易。
为了连接设备,受害者被指示在通话期间输入登录凭据 - 将受感染的设备(阅读器)与攻击者的 Tapper 实例连接起来的凭据。
定制、通信和控制
SuperCard X 采用模块化设计,可定制化,登录界面各有不同,这表明不同的犯罪分子会根据其特定活动进行定制。此外,它还采用相互 TLS (mTLS) 技术,在恶意软件及其命令与控制 (C2) 基础设施之间进行加密通信。
为了实施攻击,网络犯罪分子必须首先在 SuperCard X 平台上注册一个账户,这样他们才能生成自定义恶意软件并无缝管理 NFC 数据中继。
保持安全:用户应该知道什么
尽管采用了先进的策略,但仍有一些方法可以保持安全:
- 避免安装来自未知来源的应用程序或通过短信/WhatsApp 发送的链接。
- 下载前请仔细检查应用程序权限、评论和描述。
- 保持 Google Play Protect 处于启用状态,以扫描并阻止可疑应用程序。
- 警惕那些提示您拨打电话或提供敏感数据的紧急消息。
据报道,谷歌正在开发新的 Android 功能,以阻止来自未经验证来源的应用程序安装并限制可访问性权限,旨在从源头上切断该恶意软件的传播方式。
更大的图景
SuperCard X 不仅仅是一个普通的恶意软件,它代表着金融网络犯罪的一次威胁性演变。利用非接触式卡技术,攻击者可以更灵活地绕过物理卡的安全措施。随着其规模的扩大,它不仅对银行机构构成了严重威胁,也对全球的支付服务提供商和发卡机构构成了威胁。
