一种名为 SuperCard X 的新型 Android 恶意软件即服务(MaaS)平台浮出水面,该平台可助力实施近场通信(NFC)中继攻击,为网络犯罪分子开展欺诈性套现活动提供便利。反欺诈公司 Cleafy 的分析显示,此次攻击主要针对意大利银行机构及发卡机构的客户,企图窃取支付卡数据,且有迹象表明该恶意服务在 Telegram 频道上进行推广。安全研究人员 Federico Valentini、Alessandro Strino 和 Michele Roviello 指出,SuperCard X 采用多阶段攻击策略,将短信网络钓鱼与电话诈骗等社会工程手段,同恶意应用程序安装、NFC 数据拦截相结合,形成高效的欺诈模式。

据观察,这款新的 Android 恶意软件是由一名讲中文的威胁者所为,通过三种不同的虚假应用程序进行传播,并通过欺骗性短信或 WhatsApp 消息等社会工程技术诱骗受害者安装它们。

  • Verifica Carta (io.dxpay.remotenfc.supercard11)

  • SuperCard X (io.dxpay.remotenfc.supercard)

  • KingCard NFC (io.dxpay.remotenfc.supercard)

感染链随后进入所谓的电话导向攻击传播 (TOAD),威胁行为者通过直接电话交谈,以安全软件的名义诱骗受害者安装应用程序。此外,威胁行为者还被发现使用诱导性手段收集受害者的 PIN 码,并指示他们取消所有现有的银行卡限额,从而轻松盗取资金。

此次攻击行动的核心是一种前所未见的 NFC 中继技术,该技术允许威胁行为者拦截并转发受感染设备的 NFC 通信,从而以欺诈手段完成销售点(PoS)支付授权和自动柜员机(ATM)取款操作。攻击者通过精心设计的骗局,诱使受害者将借记卡或信用卡贴近安装有恶意软件的移动设备,此时 SuperCard X 恶意软件便会暗中捕获卡片传输信息,并将其发送至外部服务器。随后,攻击者利用已掌握的卡片数据,在受控设备上进行未经授权的交易。

为获取 NFC 卡数据,攻击者向受害者分发名为 Reader 的应用程序,同时在自身设备上安装名为 Tapper 的配套应用接收卡片信息。Reader 与 Tapper 之间通过 HTTP 协议实现命令与控制(C2)通信,且需要网络犯罪分子登录操作。为此,攻击者需预先在 SuperCard X 平台注册账户,再诱使受害者输入通话过程中提供的登录凭据。这一环节至关重要,其成功建立起受害者受感染设备与攻击者 Tapper 应用之间的连接,为后续中继卡数据以实现提现奠定基础。此外,Tapper 应用还能利用窃取的数据模拟受害者卡片,使 PoS 终端和 ATM 误将其识别为合法卡片,进一步完成欺诈交易 。