一種名為 "SuperCard X" 的新型惡意軟件即服務(wù)（MaaS）平臺(tái)已經(jīng)出現(xiàn)，該平臺(tái)通過 NFC 中繼攻擊安卓設(shè)備，使銷售點(diǎn)和 ATM 交易能夠使用受損的支付卡數(shù)據(jù)。

SuperCard X 是由移動(dòng)安全公司 Cleafy 發(fā)現(xiàn)的，該公司報(bào)告稱，在意大利發(fā)現(xiàn)了利用這種安卓惡意軟件的攻擊。這些攻擊涉及多個(gè)具有細(xì)微差異的樣本，表明分支機(jī)構(gòu)可以根據(jù)區(qū)域或其他特定需求定制構(gòu)建。

SuperCard X 攻擊是如何展開的

攻擊開始時(shí)，受害者會(huì)收到一條假冒銀行的假短信或 WhatsApp 消息，聲稱他們需要撥打一個(gè)號(hào)碼來解決可疑交易引起的問題。

接電話的是一名冒充銀行客服人員的騙子，他利用社會(huì)工程學(xué)欺騙受害者 " 確認(rèn) " 他們的卡號(hào)和密碼。然后，他們試圖說服用戶通過他們的銀行應(yīng)用取消消費(fèi)限制。

最后，威脅者說服用戶安裝一個(gè)偽裝成安全或驗(yàn)證工具的惡意應(yīng)用程序（Reader），其中包含 SuperCard X 惡意軟件。

安裝后，Reader app 只需要很少的權(quán)限，主要是 NFC 模塊的訪問權(quán)限，這就足夠進(jìn)行數(shù)據(jù)竊取了。

詐騙者指示受害者將他們的支付卡輕敲到他們的手機(jī)上以驗(yàn)證他們的卡，允許惡意軟件讀取卡芯片數(shù)據(jù)并將其發(fā)送給攻擊者。

攻擊者在他們的安卓設(shè)備上接收這些數(shù)據(jù)，該設(shè)備運(yùn)行另一個(gè)名為 Tapper 的應(yīng)用程序，該應(yīng)用程序使用被盜數(shù)據(jù)模擬受害者的卡片。

這些 " 模擬 " 卡允許攻擊者在商店和自動(dòng)取款機(jī)上進(jìn)行非接觸式支付，但金額有限制。由于這些小額交易是即時(shí)的，對(duì)銀行來說似乎是合法的，因此它們更難被標(biāo)記和逆轉(zhuǎn)。

規(guī)避惡意軟件

Cleafy 指出，SuperCard X 目前沒有被 VirusTotal 上的任何防病毒引擎標(biāo)記，并且沒有危險(xiǎn)的權(quán)限請(qǐng)求和侵略性攻擊功能，如屏幕覆蓋，確保它不受啟發(fā)式掃描的影響。

該卡的仿真是基于 atr （Answer to Reset）的，這使得該卡在支付終端看來是合法的，顯示了技術(shù)的成熟度和對(duì)智能卡協(xié)議的理解。

另一個(gè)值得注意的技術(shù)方面是使用互 TLS （mTLS）進(jìn)行基于證書的客戶機(jī) / 服務(wù)器身份驗(yàn)證，保護(hù) C2 通信免受研究人員或執(zhí)法部門的攔截和分析。

根據(jù)目前的檢測，谷歌 Play 上沒有發(fā)現(xiàn)包含此惡意軟件的應(yīng)用程序。Android 用戶將自動(dòng)受到谷歌 Play Protect 的保護(hù)，該保護(hù)在帶有谷歌 Play Services 的 Android 設(shè)備上默認(rèn)是開啟的。谷歌 Play Protect 可以提醒用戶或阻止已知表現(xiàn)出惡意行為的應(yīng)用，即使這些應(yīng)用是來自 Play 之外的來源。