一種名為“SuperCard X”的新型惡意軟件即服務（MaaS）平臺開始在市場出現，該平臺通過NFC中繼攻擊安卓設備，使銷售點和ATM交易能夠使用受損的支付卡數據。

SuperCard X是由移動安全公司Cleafy發現的，該公司報告稱，在意大利發現了利用這種安卓惡意軟件的攻擊。這些攻擊涉及多個具有細微差異的樣本，表明分支機構可以根據區域或其他特定需求定制構建。

SuperCard X攻擊是如何展開的

攻擊開始時，受害者會收到一條假冒銀行的假短信或WhatsApp消息，聲稱他們需要撥打一個號碼來解決可疑交易引起的問題。

接電話的是一名冒充銀行客服人員的騙子，他利用社會工程學欺騙受害者“確認”他們的卡號和密碼。然后，他們試圖說服用戶通過他們的銀行應用取消消費限制。

最后，威脅者說服用戶安裝一個偽裝成安全或驗證工具的惡意應用程序（Reader），其中包含SuperCard X惡意軟件。

安裝后，Reader app只需要很少的權限，主要是NFC模塊的訪問權限，這就足夠進行數據竊取了。

詐騙者指示受害者將他們的支付卡輕敲到他們的手機上以驗證他們的卡，允許惡意軟件讀取卡芯片數據并將其發送給攻擊者。

攻擊者在他們的安卓設備上接收這些數據，該設備運行另一個名為Tapper的應用程序，該應用程序使用被盜數據模擬受害者的卡片。

這兩款應用和設備參與了此次攻擊

這些“模擬”卡允許攻擊者在商店和自動取款機上進行非接觸式支付，但金額有限制。由于這些小額交易是即時的，對銀行來說似乎是合法的，因此它們更難被標記和逆轉。

SuperCard X攻擊概述

規避惡意軟件

Cleafy指出，SuperCard X目前沒有被VirusTotal上的任何防病毒引擎標記，并且沒有危險的權限請求和侵略性攻擊功能，如屏幕覆蓋，確保它不受啟發式掃描的影響。

該卡的仿真是基于atr （Answer to Reset）的，這使得該卡在支付終端看來是合法的，顯示了技術的成熟度和對智能卡協議的理解。

另一個值得注意的技術方面是使用互TLS （mTLS）進行基于證書的客戶機/服務器身份驗證，保護C2通信免受研究人員或執法部門的攔截和分析。

保密通信系統

根據目前的檢測，谷歌Play上沒有發現包含此惡意軟件的應用程序。Android用戶將自動受到谷歌Play Protect的保護，該保護在帶有谷歌Play Services的Android設備上默認是開啟的。谷歌Play Protect可以提醒用戶或阻止已知表現出惡意行為的應用，即使這些應用是來自Play之外的來源。

參考及來源：https://www.bleepingcomputer.com/news/security/supercard-x-android-malware-use-stolen-cards-in-nfc-relay-attacks/