NFC リレー詐欺は大きな構造的変化を経験しています。1 年前、SuperCard X のような中国語圏の Malware-as-a-Service (MaaS) プラットフォームが市場を支配し、グローバルなアフィリエイトに既製のリレー インフラを提供していました。
今日、オープンソース ツールと生成 AI の民主化により、ローカルの脅威アクターが独自の高度なマルウェアを構築できるようになりました。
セキュリティ研究者は最近、2 つの新しい Android NFC リレー ファミリーを発見しました:DevilNFC と NFCMultiPay です。
これらの系統は、高価な MaaS サブスクリプションの必要性を回避して、ヨーロッパおよびラテンアメリカの銀行顧客を特に対象としています。
NFCMultiPay と DevilNFC の出現は、中国によって管理されたインフラからの明確な離脱を示しています。ポルトガル語を話す ブラジルのグループによって運営されている NFCMultiPay は、クラウド ブローカーを通じて交換をルーティングする純粋な Java NFC リーダーを使用しています。
初期バージョンには残された中国語のコードが含まれていましたが、後のバリアントはこれを機能的な英語とポルトガル語ロギングに置き換えました。
この進展は、攻撃者がリークされたコードを再利用して運用層を構築し、従来の MaaS 依存から正常に脱却したことを示唆しています。
DevilNFC は脅威環境におけるさらに高度な進化を表しています。スペイン語を話す開発者によって完全に構築されたこのマルウェアは、オープンソースの NFCGate フレームワークに依存しています。ただし、その上に構築された完全にオリジナルなコードを備えています。
両方のマルウェア ファミリーは AI 支援開発の強力な兆候を示しています。詐欺師は、検閲されていないローカル大規模言語モデル (LLM) を活用して、複雑なロギング構造、エッジケース エラー処理、および非常に洗練されたフィッシング テンプレートを生成しています。
DevilNFC は、詐欺を実行するために巧妙なデュアルロール アーキテクチャに依存しています。ルート化されていない被害者デバイスでは、アプリケーションは単なるパッシブ リーダーとして機能し、基本的なセキュリティ スキャナーによって完全に検出されません。
ただし、ルート化された攻撃者デバイスにインストールされると、Xposed フレームワークを使用して Android NFC デーモンにフックを注入します。NFCGate の派生物によって駆動されるこのネイティブ エンジンは、攻撃者のハードウェアをライブ ホスト カード エミュレーターに変換します。
インストールされると、DevilNFC は Android のキオスク モードを使用して被害者の画面をロックし、彼らを偽の銀行インターフェイス内に永続的に閉じ込め、脱出方法がありません。
アプリケーションは秘密裏に受信 OTP をインターセプトし、Telegram ボットに直接転送します。被害者が携帯電話に対して物理カードをタップした後、偽の検証画面は PIN 入力を求めます。
詐欺取引が完了するのを確認するために、アプリケーションは意図的にエラー メッセージを表示し、ユーザーにカードをさらに 10 秒間保持してリレー ウィンドウを延長するよう要求します。
翻訳元: https://cyberpress.org/devilnfc-enables-nfc-fraud/