一種名為 "SuperCard X" 的新型惡意軟件即服務（MaaS）平臺已經出現，該平臺通過 NFC 中繼攻擊安卓設備，使銷售點和 ATM 交易能夠使用受損的支付卡數據。

SuperCard X 是由移動安全公司 Cleafy 發現的，該公司報告稱，在意大利發現了利用這種安卓惡意軟件的攻擊。這些攻擊涉及多個具有細微差異的樣本，表明分支機構可以根據區域或其他特定需求定制構建。

SuperCard X 攻擊是如何展開的

攻擊開始時，受害者會收到一條假冒銀行的假短信或 WhatsApp 消息，聲稱他們需要撥打一個號碼來解決可疑交易引起的問題。

接電話的是一名冒充銀行客服人員的騙子，他利用社會工程學欺騙受害者 " 確認 " 他們的卡號和密碼。然后，他們試圖說服用戶通過他們的銀行應用取消消費限制。

最后，威脅者說服用戶安裝一個偽裝成安全或驗證工具的惡意應用程序（Reader），其中包含 SuperCard X 惡意軟件。

安裝后，Reader app 只需要很少的權限，主要是 NFC 模塊的訪問權限，這就足夠進行數據竊取了。

詐騙者指示受害者將他們的支付卡輕敲到他們的手機上以驗證他們的卡，允許惡意軟件讀取卡芯片數據并將其發送給攻擊者。

攻擊者在他們的安卓設備上接收這些數據，該設備運行另一個名為 Tapper 的應用程序，該應用程序使用被盜數據模擬受害者的卡片。

這些 " 模擬 " 卡允許攻擊者在商店和自動取款機上進行非接觸式支付，但金額有限制。由于這些小額交易是即時的，對銀行來說似乎是合法的，因此它們更難被標記和逆轉。

規避惡意軟件

Cleafy 指出，SuperCard X 目前沒有被 VirusTotal 上的任何防病毒引擎標記，并且沒有危險的權限請求和侵略性攻擊功能，如屏幕覆蓋，確保它不受啟發式掃描的影響。

該卡的仿真是基于 atr （Answer to Reset）的，這使得該卡在支付終端看來是合法的，顯示了技術的成熟度和對智能卡協議的理解。

另一個值得注意的技術方面是使用互 TLS （mTLS）進行基于證書的客戶機 / 服務器身份驗證，保護 C2 通信免受研究人員或執法部門的攔截和分析。

根據目前的檢測，谷歌 Play 上沒有發現包含此惡意軟件的應用程序。Android 用戶將自動受到谷歌 Play Protect 的保護，該保護在帶有谷歌 Play Services 的 Android 設備上默認是開啟的。谷歌 Play Protect 可以提醒用戶或阻止已知表現出惡意行為的應用，即使這些應用是來自 Play 之外的來源。