SuperCard Xは、MaaSで展開され始めたマルウェアです。
MaaSは、マルウェア・アズ・ア・サービスです。
SuperCard Xは、NFC機能の悪用を狙うマルウェアに仕上がっています。
侵害の様子を見てみましょう。
- ソーシャルエンジニアリングによる作戦開始
攻撃は通常、SMSやWhatsAppを介して配信される、受信者に緊急性や警戒感を植え付けるように設計された欺瞞的なメッセージから始まります。
銀行のセキュリティアラートを偽装したものが多く、不審な送金についてメッセージ受信者に通知します。
メッセージは、潜在的な被害者に特定の番号に電話をかけ、取引に異議を申し立てるよう促します。 - 受信者のリアクション
受信したメッセージに対し、指示された行動をとるかどうかが最初の分かれ道です。
ここで指示通りの行動を開始した場合、受信者は被害者への道を歩み始めます。 - 電話での活動:PIN情報の聞き出し
脅威アクターは金融機関などの電話先の担当者を装います。
ユーザの不安感をあおり、問題の解消のためにカードを「リセット」または「認証」するよう説得します。 - 電話での活動:カード利用限度額の削除
ユーザを誘導して銀行口座のアプリを操作させることができた場合、脅威アクターは次にデビットカードまたはクレジットカードの既存の利用限度額を削除するよう指示します。
この部分がうまくいくと盗み出せる金額が大きくなってしまいます。 - 電話での活動:悪意のあるアプリケーションのインストール
脅威アクターは、悪意あるアプリケーションをユーザのデバイスにインストールするように誘導します。
そのアプリケーションのインストールは、正規のストア経由ではなく、脅威アクターがSMSなどで送信したURLで行われます。
脅威アクターはそれがセキュリティツールや認証ユーティリティであるかのように装います。 - 電話での活動:NFCデータキャプチャ
さきほどユーザにインストールさせたマルウェアは、NFCデータキャプチャの機能を持つマルウェアでした。
これがSuperCard Xです。
脅威アクターはユーザににデビットカードまたはクレジットカードを感染したモバイルデバイスに近づけるよう指示します。
SuperCard Xは、NFC経由で送信されるカード情報を密かに取得します。
そしてそのデータはコマンドアンドコントロール(C2)インフラストラクチャを介して、攻撃者が制御する別のAndroidデバイスに中継されます。 - 不正な現金引き出し
カードを利用するための情報が脅威アクターのデバイス上にそろった状態になりました。
脅威アクターは自身のデバイスを使って、金銭を取得します。
POS端末での非接触型決済かもしれませんし、ATMでの非接触型現金引き出しかもしれません。
NFCを使った決済は、一瞬でプロセスが完了します。
電信送金などを実施させる場合は処理完了までの時間で取引が取り消される可能性がありますが、NFCでの取引は即座に完了されます。
この方法は脅威アクターにとって金銭を入手できる確実性を高める内容といえます。
現在、このマルウェアの検出は容易ではありません。
危険な許可要求や画面オーバーレイなどの積極的な攻撃機能がないためです。
侵害のフローを開始してしまうと、セキュリティソフトウェアでの保護に期待することは厳しそうですので、そういった機構によって被害を免れることは容易ではなさそうです。
詐欺メッセージの単なる受信者となるのか、詐欺の被害者となってしまうのか、それは受信者のリアクションにかかっています。
SuperCard X: exposing a Chinese-speaker MaaS for NFC Relay fraud operation
https://www.cleafy.com/cleafy-labs/supercardx-exposing-chinese-speaker-maas-for-nfc-relay-fraud-operation
| この記事をシェア |
|
|---|
