中国の脅威アクターがNFC技術を武器化し、高度なAndroidマルウェアキャンペーンを通じて被害者の銀行口座から遠隔で資金を盗んでおり、セキュリティ研究者は単一の作戦だけで少なくとも355,000ドルの不正取引を確認しています。
Group-IBの研究者は、NFC対応のAndroidアプリケーションを中心とした広範なサイバー犯罪エコシステムを突き止めました。これにより犯罪者は、遠隔から不正なタップ決済取引を実行できます。
「Ghost Tap」と名付けられたこれらの悪意あるアプリケーションは、近距離無線通信(NFC)技術を悪用して、被害者の端末から攻撃者の端末へ決済データを中継し、決済カードに物理的に触れることなく銀行口座から資金を引き出せるようにします。
攻撃の仕組み
Ghost Tapの手口は、2つの専用アプリケーションを用いた高度なリレー機構で動作します。被害者の端末にインストールされる「リーダー」と、攻撃者の端末にインストールされる「タッパー」です。
犯罪者はスミッシング(SMSフィッシング)やビッシング(音声フィッシング)キャンペーンで被害者を誘導し、悪意あるAPKファイルをインストールさせ、銀行カードをAndroid端末にかざすよう説得します。
被害者のカードが侵害されたスマホに接触すると、マルウェアがNFC決済データを取得し、コマンド&コントロール(C2)サーバーを介して攻撃者の端末へ中継します。
その後サイバー犯罪者は、不正に入手したPOS端末を使って盗んだ資金を換金し、被害者のカードが物理的に存在するかのように取引を完了させます。
別のシナリオでは、犯罪者が侵害されたカード情報でモバイルウォレットを事前にチャージし、世界各地にミュール(運び屋)ネットワークを展開して、改変されたタップ決済アプリを用い実店舗で購入を行います。
Group-IBの調査では、54件を超えるAPKサンプルが特定され、一部のマルウェア亜種は正規の銀行アプリを装っていました。
研究により、Telegram上の中国系サイバー犯罪コミュニティ内で活動する主要なマルウェアベンダーが3つ(TX-NFC、X-NFC、NFU Pay)存在することが明らかになりました。
特定された中で最大のベンダーであるTX-NFCは、2025年1月にTelegramチャンネルを開設し、短期間で21,000人超の登録者を集めました。
同グループは英語でのカスタマーサポートを提供し、マルウェアの価格は1日利用で45ドルから、3か月サブスクリプションで1,050ドルまでとなっています。
X-NFCは2024年12月に登場し、5,000人超のメンバーを抱えています。一方NFU Payは登録者数こそ少ないものの、他ベンダーによって別名でアプリが再配布されています。
これらのベンダーは提供内容を継続的に進化させており、NFU Payはブラジルやイタリアなど特定国向けのカスタムビルドを提供していると報告されています。これには、より迅速に被害者を狙えるようログイン要件を削除する改変も含まれます。
このアプリケーションには2つのアクティビティコンポーネントがあり、そのうち1つ目の「LoginActivity」はユーザー認証を処理し、アプリケーションのメインエントリポイントとして機能します。
このマルウェア・エコシステムを補完するものとして、不正に入手されたPOS端末の活発な市場も存在します。
TX-NFCベンダーに関連するTelegramチャンネル「Oedipus」は、中東、アフリカ、アジア各地の金融機関のPOS端末を公然と宣伝しています。
2024年11月以降、この単一の作戦だけで、これらの盗難端末を用いて約355,000ドルの不正取引が処理されています。
世界各国の当局も、この新たな脅威への対応を開始しています。注目すべき逮捕例として、2025年3月にテネシー州ノックスビルで、中国国籍者11人がこれらのAndroidアプリを用いて数万ドル相当のギフトカードを購入したとして拘束されており、米国における同種の初の逮捕とされています。
2024年11月には、シンガポール当局が、物理カードなしで高額店舗にて非接触決済を行っていた5人を逮捕しました。チェコ警察、マレーシア当局、中国の法執行機関も、これらのNFCリレー攻撃に関連する逮捕を行っています。
Visa Payment Ecosystem Risk and Controlチームの2025年春の年2回の脅威レポートでは、リレー詐欺におけるNFC対応の悪意あるアプリケーションの継続使用が特に強調されました。またCredit Chinaは、被害者が少なくとも13,000ドルをこれらの手口で失った事例を詳述する注意喚起を発出しました。
技術分析
マルウェアを分析したセキュリティ研究者は、TX-NFCのようなアプリケーションが、中国の商用パッカーである360 Jiaguを用いて難読化およびパックされていることを発見しました。
2024年5月から2025年12月まで追跡されたGroup-IB Fraud Protectionのデータに基づくと、タップ決済マルウェアのサンプル検出が着実に増加していることが確認できます。
このマルウェアは、NFCハードウェアへのアクセス、インターネット接続、フォアグラウンドサービス機能などの重要な権限を要求し、ユーザーが端末を積極的に使用していない場合でも永続性を維持できるようにします。
これらのアプリケーションは、ISO 14443の非接触決済カードおよび各種NFCタグタイプを特に標的としています。
NFC対応の決済カードを検出すると、マルウェアは「2PAY.SYS.DDF01」コマンドを送信して近接決済システム環境(Proximity Payment System Environment)との通信を開始し、利用可能なアプリケーション識別子を保存したうえで、WebSocketサービスを通じてすべてのデータを攻撃者のC2インフラへ中継します。
コード分析により、一部の亜種がGitHubで公開されているオープンソースプロジェクト「NFCProxy」をベースにしていることが判明し、サイバー犯罪者が正当な技術を悪用目的に転用している実態が示されました。
翻訳元: https://gbhackers.com/new-ghost-tap-attack/
