电诈犯罪新手法！新型Android恶意软件SuperCard X正悄悄盯上你的银行卡

在如今这个数字化时代，手机的便捷性给我们的生活带来了极大的便利，但同时也伴随着各种潜在的风险。近期，一款令人毛骨悚然的新型恶意软件——SuperCard X，如同隐藏在黑暗中的幽灵，正悄然对Android用户的信用卡信息伸出罪恶之手。

危险的SuperCard X到底是什么

SuperCard X是一个新型恶意软件即服务（MaaS）平台，专门将“黑手”伸向了Android设备。它主要利用近场通信（NFC）中继攻击这种技术手段，来干着窃取用户信用卡信息的勾当，进而实现非法的销售点（POS）支付和自动取款机（ATM）取款操作。

这款恶意软件可不是“单打独斗”的独行侠，它与一个中文MaaS平台有着千丝万缕的关系。其代码和达姆施塔特工业大学开发的开源NFCGate工具，以及2024年初针对捷克共和国的NGate Android恶意软件相似度极高。它还通过Telegram频道进行大肆推广，为那些居心叵测的“客户”提供直接支持，甚至能根据不同地区的特殊需求，提供定制版本。就像在针对意大利用户的活动中，已经发现了存在细微差异的多个样本，简直是“因地制宜”地进行诈骗活动。

令人防不胜防的攻击过程

1. 初步接触——虚假信息的诱饵：攻击者就像狡猾的狐狸，首先会向受害者发送伪装成银行发送的虚假短信或WhatsApp消息。在这些消息中，他们会声称受害者账户中存在可疑交易，要求受害者致电指定号码进行处理。这看似平常的短信或消息，实则是他们精心布置的陷阱开端。
2. 社会工程手段——骗术升级：当受害者因为担心账户安全而拨打电话后，另一名伪装成银行客服的诈骗分子会立刻接听电话。他们以解决可疑交易为幌子，开始施展他们的骗术，诱导受害者“确认”其银行卡号和密码，还试图说服受害者通过银行应用程序取消银行卡的消费限制。在这个过程中，他们会利用各种话术，让受害者放松警惕，一步步落入他们的圈套。
3. 安装恶意软件——暗藏祸心：一旦获取了受害者的信任，这些诈骗分子就会进一步得寸进尺，说服受害者在手机上安装一个名为“Reader”的恶意应用程序。这个程序会伪装成安全或验证工具，看起来似乎毫无威胁，但实际上却隐藏着SuperCard X恶意软件，就像披着羊皮的狼，随时准备给受害者致命一击。
4. 窃取卡数据——悄无声息的黑手：安装完成后，“Reader”应用仅请求访问NFC模块的权限，而这对于实施数据窃取来说已经足够了。诈骗分子会指示受害者将支付卡靠近手机，美其名曰“验证”卡片。而此时，恶意软件就会趁机读取卡芯片数据，并将其发送给攻击者。受害者可能还浑然不知，自己的信用卡信息已经在不知不觉中被泄露。
5. 实施欺诈交易——小额频刷的伎俩：攻击者在自己的Android设备上运行另一个名为“Tapper”的应用程序，这个程序会使用窃取的卡数据模拟受害者的银行卡。通过这种方式，攻击者就可以在商店进行非接触式支付或在ATM机上取款。不过，为了降低引起银行和受害者注意的风险，他们通常会进行小额、频繁的交易。这种小额频刷的方式，就像蚂蚁搬家一样，一点一点地侵蚀着受害者的财产。

剖析SuperCard X的技术特点

1. 模块化架构——分工明确的罪恶体系：SuperCard X采用了一种颇为精巧的由两个部分组成的架构。其中包括安装在受害者设备上的Reader应用程序和由攻击者控制的Tapper应用程序。这两个组件通过基于HTTP协议的命令与控制（C2）基础设施进行通信，并且都需要身份验证凭据，以此来确保在各个MaaS附属机构之间实现正确的路由。这种分工明确的架构，使得它们的攻击行为更加有序和高效。
2. 低检测率——隐藏极深的危险分子：目前，这款恶意软件简直就是防病毒软件的“漏网之鱼”，在VirusTotal上的任何杀毒引擎都没能检测到它。它只请求android.permission.NFC等基本权限，以及与基本应用功能相关的常规、不引人怀疑的权限。这种极简的权限请求策略，使其能够保持异常低的被检测几率，从而轻松绕过防病毒解决方案的启发式扫描，如同一个隐形的盗贼，在用户的设备上肆意妄为。
3. 证书认证——加密的罪恶保护罩：SuperCard X的通信使用了相互传输层安全（mTLS）进行身份验证，这就像是给它的通信加上了一层坚固的保护罩，确保其C2通信的安全性，防止研究人员或执法部门的拦截和分析。这使得对它的追踪和打击变得更加困难，也让它更加有恃无恐地进行恶意活动。

安全机构及Google的回应与举措

移动安全公司Cleafy率先发现了SuperCard X这个“恶魔”，并报告称已经在意大利看到了利用这种Android恶意软件进行的攻击。当BleepingComputer就SuperCard X活动联系了Google后，Google发言人表示，根据目前的检测结果，Google Play上未发现包含此恶意软件的应用。

不过值得庆幸的是，Android用户还是有一定的保护机制的。Android用户受Google Play Protect保护，该保护默认开启在装有Google Play Services的Android设备上。Google Play Protect可以警告用户或阻止已知具有恶意行为的应用，即使这些应用来自Play商店以外的来源。

如何防范SuperCard X的侵害

虽然Google Play Protect等安全机制能起到一定的保护作用，但用户自身也不能掉以轻心，还需要采取一系列措施来加强防范。

1. 谨慎对待短信和电话：对于声称来自银行等机构的短信或电话，一定要保持高度警惕。不要轻易相信短信中的内容，更不要随意致电短信中提供的号码。如果对账户信息有疑问，应该主动拨打银行的官方客服电话进行核实。
2. 不随意安装未知应用：只从正规的应用商店，如Google Play商店下载应用程序。对于来源不明的应用，尤其是那些通过短信、链接等方式诱导下载的应用，坚决不要安装。在安装应用前，仔细查看应用的开发者信息和用户评价，了解应用的信誉和功能。
3. 注意应用权限请求：在安装应用时，认真查看应用所请求的权限。如果一个应用请求的权限与它的功能不相符，或者请求了一些敏感权限，如NFC模块访问权限等，而这些权限又并非必要的，那么就要谨慎考虑是否安装该应用。
4. 安装安全防护软件：在手机上安装可靠的移动安全应用程序，如腾讯手机管家、360手机卫士等。这些安全软件可以对手机进行实时监控，检测和拦截恶意软件，帮助用户及时发现和处理潜在的安全威胁。
5. 定期更新系统和应用：及时更新手机的操作系统和应用程序，以确保安装了最新的安全补丁和漏洞修复。很多时候，安全漏洞是恶意软件入侵的入口，通过更新可以封堵这些漏洞，提高手机的安全性。

总之，新型Android恶意软件SuperCard X的出现，给我们的信息安全和财产安全带来了严重的威胁。但只要我们保持警惕，采取有效的防范措施，就能够在一定程度上降低被攻击的风险，保护好自己的信用卡信息和财产安全。在这个充满风险的数字世界里，我们每个人都要成为自己信息安全的守护者。