近距離無線通信(NFC)リレーマルウェアは東ヨーロッパで非常に人気が高まっており、研究者たちは過去数ヶ月でこの手法を使って人々の支払いカード情報を盗む760以上の悪意あるAndroidアプリを発見しました。
従来のバンキングトロイの木馬がオーバーレイを使って銀行認証情報を盗んだり、リモートアクセスツールで不正取引を行ったりするのとは異なり、NFCマルウェアはAndroidのホストカードエミュレーション(HCE)を悪用して、非接触型クレジットカードや支払いデータをエミュレートまたは盗みます。
これらはEMVフィールドをキャプチャし、POS端末からのAPDUコマンドに攻撃者が制御する応答を返したり、端末のリクエストをリモートサーバーに転送し、適切なAPDU応答を作成して物理的なカード所有者がいなくても端末での支払いを可能にします。
この手法は2023年にポーランドで初めて実際に確認され、その後チェコ共和国でのキャンペーン、さらに後にはロシアでの大規模な攻撃の波が続きました。
時間の経過とともに、さまざまな実用的アプローチを取る複数の亜種が登場しました。例として:
- EMVフィールドをTelegramや他のエンドポイントに流出させるデータ収集型、
- APDUをリモートのペアデバイスに転送するリレーツールキット、
- HCE応答を操作してリアルタイムでPOS取引を認証する「ゴーストタップ」決済、
- そしてAndroidでデフォルトの支払いハンドラーとして登録されるPWAや偽銀行アプリなどがあります。
Googleの「App Defense Alliance」メンバーであるモバイルセキュリティ企業Zimperiumによると、最近Android上でNFCマルウェアの人気が爆発的に高まっており、特に東ヨーロッパで顕著です。
「最初はわずかな孤立したサンプルだけでしたが、現在では野生で観測された悪意あるアプリが760以上に拡大しており、NFCリレーの悪用が減速するどころか加速し続けていることを示しています」とZimperiumは説明しています。
「他のベンダーによって以前に記録されたキャンペーンは、現在ロシア、ポーランド、チェコ共和国、スロバキアなど、さらに多くの地域に拡大しています。」
出典:Zimperium
同社は、これらのキャンペーンを支援する70以上のコマンド&コントロール(C2)サーバーやアプリ配布ハブ、盗まれたデータの流出や作戦の調整に使われる多数のTelegramボットやプライベートチャンネルを特定しました。
マルウェア配布に使われるアプリはGoogle Payや、Santander銀行、VTB銀行、Tinkoff銀行、ING銀行、Bradesco銀行、Promsvyazbank(PSB)などの金融機関を装っています。
出典:Zimperium
Androidユーザーは、Google Play以外からAPKをインストールしないこと(発行元を明確に信頼している場合を除く)、銀行アプリは公式銀行リンクからのみインストールすること、NFCアクセスやフォアグラウンドサービス権限などの不審な権限がないか確認することが推奨されています。
さらに、Androidの内蔵マルウェア対策ツールであるPlay Protectで定期的にデバイスをスキャンし、必要がなければNFCを無効にすることも推奨されています。
Zimperiumが野生で発見したAPKの完全なリストはこちらで確認できます。
