SuperCard X モバイルマルウェア
これまで知られていなかったAndroid向けマルウェア・アズ・ア・サービス(MaaS)プラットフォーム「SuperCard X」が、サイバー犯罪界で大きな話題となっています。このプラットフォームは、攻撃者が近距離無線通信(NFC)リレー攻撃を実行できるようにし、不正な取引やATMからの引き出しを可能にします。イタリアの銀行顧客を標的とするこのマルウェアは、Telegramチャンネルを通じて拡散され、アンダーグラウンドのサイバー犯罪ネットワークを通じてその影響力を拡大しているとみられています。
目次
欺瞞的な侵入ポイント:最悪のソーシャルエンジニアリング
SuperCard Xは、典型的なソーシャルエンジニアリング戦術から始まる多段階の攻撃チェーンを採用しています。被害者は、スミッシングキャンペーンや銀行を装った偽のWhatsAppメッセージに誘い込まれ、不審な活動について警告し、特定の電話番号に電話をかけるよう促されます。
一度連絡が取れると、この戦術は電話指向攻撃配信(TOAD)へとエスカレートします。攻撃者は通話中に、被害者にセキュリティソフトウェアを装ったアプリをインストールするよう仕向けます。この手口で使用されるアプリには、以下のものがあります。
- ベリフィカ カルタ (io.dxpay.remotenfc.supercard11)
- スーパーカード X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
被害者はまた、暗証番号を開示したり、取引限度額を解除したりするように操作され、大規模な金銭窃盗の舞台が整えられます。
リレーメカニズム:戦術の仕組み
SuperCard Xの核となるのは、高度なNFCリレー技術です。その仕組みは以下のとおりです。
- 被害者は、感染した携帯電話にクレジットカードまたはデビットカードを近づけるように求められます。
- 被害者の携帯電話のリーダー アプリは、NFC で送信されたカード データをキャプチャします。
- この情報は、HTTP 経由で攻撃者のデバイス上の Tapper アプリに送信されます。
- Tapper アプリは盗まれたカードデータをエミュレートし、攻撃者が不正な POS または ATM 取引を実行できるようにします。
デバイスをリンクするために、被害者は通話中にログイン資格情報を入力するように指示されます。この資格情報は、感染したデバイス (リーダー) を攻撃者の Tapper インスタンスに接続するためのものです。
カスタマイズ、コミュニケーション、コントロール
SuperCard Xはモジュール式でカスタマイズ可能であり、ログインインターフェースのバリエーションは、様々な犯罪組織がそれぞれのキャンペーンに合わせてカスタマイズしていることを示唆しています。また、マルウェアとコマンドアンドコントロール(C2)インフラストラクチャ間の暗号化通信には、相互TLS(mTLS)が採用されています。
サイバー犯罪者が活動するには、まずSuperCard Xプラットフォームにアカウントを登録し、カスタムマルウェアビルドを生成し、NFCデータリレーをシームレスに管理できるようにする必要があります。
安全を保つ: ユーザーが知っておくべきこと
高度な戦術にもかかわらず、保護された状態を維持する方法はあります。
- 不明なソースからのアプリや、SMS/WhatsApp 経由で送信されたリンクをインストールしないでください。
- ダウンロードする前に、アプリの権限、レビュー、説明を精査してください。
- 疑わしいアプリをスキャンしてブロックするには、Google Play Protect を有効にしてください。
- 電話番号に電話をかけたり、機密データを提供するよう促す緊急メッセージには注意してください。
Google は、このマルウェアの配布方法をソースで遮断することを目指して、未検証のソースからのアプリのインストールをブロックし、アクセス権限を制限する新しい Android 機能を開発していると報じられています。
全体像
SuperCard Xは単なるマルウェアではなく、金融サイバー犯罪の脅威的な進化を象徴しています。非接触型カード技術を活用することで、攻撃者は物理的なカードセキュリティを回避できるスケーラブルな手段を手に入れることになります。その拡大に伴い、金融機関だけでなく、世界中の決済サービスプロバイダーやカード発行会社にとって深刻な脅威となります。
