一场名为 SuperCard X 的复杂 Android 恶意软件攻击活动已成为对全球金融机构和持卡人的重大威胁。

这种新型恶意软件采用了一种创新的近场通信（NFC）中继技术，攻击者能够通过拦截和中继来自受感染设备的 NFC 通信，以欺诈性地授权销售点（POS）支付并进行自动取款机（ATM）取现操作。

该恶意软件通过精心策划的欺诈方案运行，将社会工程策略与技术利用相结合，无论受害者身处何地，都能在他们的支付卡和攻击者的设备之间建立起无缝连接。

与传统的专注于窃取凭证或屏幕覆盖的银行木马不同，SuperCard X 通过针对支付卡与终端之间的物理通信层，代表了移动设备威胁的一种演变。

该恶意软件通过精心设计的社会工程攻击活动进行传播，受害者会收到冒充银行安全警报的欺骗性信息，声称其存在可疑交易。

当受害者拨打提供的电话号码时，他们会在不知不觉中与威胁行为者接触，这些行为者会引导他们完成一系列最终导致支付凭证泄露的操作。

Cleafy 威胁情报研究人员发现，这场攻击活动是一个更广泛的中文恶意软件即服务（MaaS）平台的一部分。

他们的分析显示，SuperCard X 与达姆施塔特工业大学开发的开源 NFCGate 工具，以及另一个在 2024 年初针对捷克共和国的名为 NGate 的 Android 恶意软件之间存在显著的代码相似性。

SuperCard X 的独特之处在于其精简地专注于 NFC 中继功能，附加功能极少，这使其能够保持异常低的被检测几率。

这种威胁的影响超出了传统银行欺诈模式的范畴，因为它直接针对支付卡交易，而非特定的银行机构。

这种无差别攻击的操作方式意味着几乎任何发卡机构的客户都可能成为受害者。

此外，这些交易的即时性 —— 类似于 “即时支付”，但能立即获取商品、服务或现金 —— 为欺诈者带来了双重优势：资金快速转移和即时交易获利。

整个欺诈场景按照精心规划的顺序展开。在通过短信或 WhatsApp 进行初步接触并随后进行电话操控后，攻击者会说服受害者在他们的智能手机上安装恶意的 Reader 应用程序。

然后，受害者会被指示将他们的支付卡贴近受感染的手机，在不知不觉中通过恶意软件将卡数据传输到攻击者的 Tapper 设备上，该设备可以在远程位置立即执行欺诈性交易。

NFC 中继攻击的技术架构

SuperCard X 恶意软件采用了一种由两部分组成的架构，包括安装在受害者设备上的 Reader 应用程序和由攻击者控制的 Tapper 应用程序。

这些组件通过恶意软件即服务（MaaS）平台提供的命令与控制（C2）基础设施，使用 HTTP 协议进行通信。

为了确保在各个 MaaS 附属机构之间实现正确的路由，这两个应用程序都需要身份验证凭据，攻击者会在社会工程阶段预先生成这些凭据并提供给受害者。

该恶意软件的技术复杂性体现在其嵌入的文件中，该文件包含多个复位应答（ATR）消息，这些消息通常用于启动智能卡与 NFC Reader之间的通信参数设置。

通过利用这些 ATR，SuperCard X 可以欺骗 POS 终端或 ATM 机，使其将攻击者的设备识别为合法的实体卡，从而有效地绕过了距离限制。

SuperCard X 通过极简的权限模型来保持其隐蔽性，主要只请求基本的 android.permission.NFC 权限，以及与基本应用功能相关的常规、不引人怀疑的权限。

这种对请求权限的刻意限制使其能够在执行恶意核心功能的同时保持看似无害的形象，从而导致在防病毒解决方案中的检测率极低。

该恶意软件还通过与 C2 基础设施进行双向传输层安全（mTLS）身份验证，进一步保障其操作的安全性，防止未经授权的分析尝试。

针对特定攻击活动（如针对意大利用户的活动）的定制版本，会进行一些修改以简化用户体验，并删除对 MaaS 平台的 Telegram 频道的引用，这使得安全研究人员更难以追溯其来源。