中国の脅威アクターが、Telegramを介して決済カードデータを傍受し、遠隔で中継できるNFC対応のAndroidマルウェアを配布する攻撃的なキャンペーンを展開しています。
「Ghost Tap」として特定され、TX-NFCやNFU Payを含む脅威グループに関連付けられているこの悪意あるアプリケーションは、ソーシャルエンジニアリング手法を用いてユーザーをだまし、APKをインストールさせ、国際市場全体で不正取引を知らぬ間に成立させます。
Group-IBのセキュリティ研究者は、この作戦に関連する54種類以上のユニークなマルウェアサンプルを特定しており、一部の亜種は正規の銀行・金融アプリケーションを意図的に装っていました。
このマルウェアファミリーは、近距離無線通信(NFC)リレー技術を活用し、世界規模で非接触型カード不正を可能にすることで、モバイル決済詐欺における大きな進化を示しています。
攻撃の仕組み
この攻撃チェーンは高度に洗練された運用設計を示しています。被害者は当初、侵害された、または悪意あるAPKリポジトリを通じて配布される、一見正規の金融アプリやユーティリティアプリを宣伝するソーシャルエンジニアリングキャンペーンによって標的にされます。
インストールされると、マルウェアは被害者のNFC対応端末と攻撃者が制御するコマンド&コントロール(C2)サーバーとの間に中継メカニズムを確立します。
技術的な実装では、2台の端末によるリレーアーキテクチャが用いられます。被害者のスマートフォンはリーダー端末として機能し、標的となる決済カードの近くに置かれます。一方、攻撃者が制御する端末は、POS(販売時点情報管理)端末やATMと通信するトランシーバーとして機能します。
カードデータをC2インフラ経由で中継することで、脅威アクターは正規のNFC取引に内在する近接要件を回避し、詐欺師が世界中のどこからでも無許可の購入や現金引き出しを実行できるようにします。
Group-IBの研究者は記録として、脅威オペレーターがTelegramチャンネルを通じてのみマルウェアを配布しており、サブスクリプション型のアクセスモデルで収益を得ていることを示しました。
主要ベンダーと特定されたTX-NFCは、1日利用で45ドルから、3か月利用で1,050ドルまでの段階的なサブスクリプションプランを宣伝しています。
これらのモデルは、より広範なサイバー犯罪者エコシステムにNFCリレー機能を提供する、洗練された犯罪サービスプロバイダーの存在を示唆しています。
マルウェアの亜種にはカスタマイズ可能なパラメータが組み込まれており、購入者は特定の運用要件に基づいて攻撃パラメータを設定できます。
同グループは24時間対応のTelegramベースのカスタマーサポートを提供しており、正規のソフトウェアベンダーに匹敵するプロフェッショナルなサービス運用を示しています。
技術分析により、コードには暗号化、コマンド&コントロールの難読化、そしてモバイルセキュリティソリューションによる検知を回避するための解析妨害メカニズムが実装されていることが明らかになっています。
地理的分布と被害者の標的化
テレメトリデータは、このマルウェアが複数の大陸にわたる被害者を標的としていることを示しており、ヨーロッパ、アジア、その他の地域で検知が記録されています。
主な地理的標的には、ブラジル、イタリア、マレーシア、トルコ、ウズベキスタン、ギリシャ、インドネシアが含まれます。これらは非接触決済の普及が進み、比較的モバイルセキュリティに対する認識が低い地域です。
この地理的分布は、脅威アクターがNFCベースの不正検知システムが未成熟である可能性のある市場を意図的に選定したことを示唆しています。
この作戦は、モバイルマルウェアの能力と決済詐欺インフラが重大な形で収束していることを示しています。
従来のカードスキミングや認証情報の窃取とは異なり、NFCリレー技術は、詐欺師が物理的なセキュリティ要件、二要素認証メカニズム、そして所持確認に依存するリアルタイム取引監視システムを回避できるようにします。
カスタマーサポート基盤、サブスクリプションによる収益化、技術的高度さによって示されるTX-NFCおよびNFU Payの運用のプロフェッショナル化は、これが場当たり的なマルウェアキャンペーンではなく、組織化されたサイバー犯罪企業であることを示しています。
金融機関および決済処理事業者は、モバイルエンドポイントセキュリティ、異常なNFCリレーのパターンに対する取引監視、そして信頼できない提供元から金融アプリをインストールしないよう消費者に警告する啓発キャンペーンを優先すべきです。
翻訳元: https://gbhackers.com/android-malware/
