一群讲中文的网络犯罪分子正在发起一场猛烈的攻击活动,通过传播支持 NFC 功能的安卓恶意软件,该恶意软件能够拦截并通过 Telegram 远程传输支付卡数据。
这些被识别为“Ghost Tap”的恶意应用程序与 TX-NFC 和 NFU Pay 等威胁组织有关联,它们利用社会工程策略欺骗用户安装 APK,并在用户不知情的情况下促成跨国际市场的欺诈交易。
Group-IB 的安全研究人员发现了与此次行动相关的 54 个以上独特的恶意软件样本,其中一些变种故意伪装成合法的银行和金融应用程序。
该恶意软件家族代表了移动支付欺诈的重大演变,利用近场通信 (NFC) 中继技术在全球范围内实施非接触式银行卡欺诈。
攻击原理
该攻击链展现了复杂的操作设计。攻击者首先通过社交工程活动锁定受害者,推广看似合法的金融或实用应用程序,这些应用程序通过被入侵或恶意 APK 仓库分发。
一旦安装,该恶意软件就会在受害者的 NFC 设备和攻击者控制的命令与控制 (C2) 服务器之间建立中继机制。
该技术实现采用了一种双设备中继架构。受害者的智能手机充当读卡器,放置在目标支付卡附近;而攻击者控制的设备则充当收发器,与销售点(POS)终端或ATM机通信。
通过 C2 基础设施传输卡片数据,攻击者可以绕过合法 NFC 交易固有的近距离要求,使欺诈者能够从全球任何地方进行未经授权的购买和取款。
Group-IB 的研究人员记录到,攻击者完全通过 Telegram 频道分发恶意软件,并通过订阅访问模式产生收入。
TX-NFC 被认定为主要供应商,其广告宣传的分级订阅计划价格从单日访问的 45 美元到三个月访问期的 1050 美元不等。
这些模型表明,存在一个复杂的犯罪服务提供商,向更广泛的网络犯罪生态系统提供 NFC 中继功能。这些恶意软件变种包含可自定义参数,允许购买者根据具体的操作要求配置攻击参数。
该团队提供 24 小时Telegram客户支持,表明其专业服务运营可与合法软件供应商相媲美。
技术分析表明,该代码实现了加密、命令与控制混淆和反分析机制,旨在逃避移动安全解决方案的检测。
地理位置和受害者目标
遥测数据显示,该恶意软件的目标是多个大洲的受害者,在欧洲、亚洲和其他地区均有记录在案的检测结果。
主要目标地理区域包括巴西、意大利、马来西亚、土耳其、乌兹别克斯坦、希腊和印度尼西亚等非接触式支付普及率较高但移动安全意识相对较低的地区。
地理分布表明,攻击者有意选择基于 NFC 的欺诈检测系统可能不发达的市场。此次行动标志着移动恶意软件能力与支付欺诈基础设施的一次重要融合。
与传统的银行卡盗刷或凭证盗窃不同,NFC 中继技术使欺诈者能够绕过物理安全要求、双因素身份验证机制以及依赖于持有验证的实时交易监控系统。
TX-NFC 和 NFU Pay 运营的专业化特征,体现在客户支持基础设施、订阅货币化和技术复杂性等方面,这表明这代表的是一个有组织的网络犯罪企业,而不是机会主义的恶意软件活动。
金融机构和支付处理商必须优先考虑移动终端安全、异常 NFC 中继模式的交易监控,以及开展公众宣传活动,警告消费者不要从不可信的来源安装金融应用程序。
技术报告:
《幽灵点击:追踪中国安卓点击支付恶意软件的兴起》
https://www.group-ib.com/blog/ghost-tapped-chinese-malware/
热门跟贴