Androidマルウェアの新しい波により、サイバー犯罪者は被害者の銀行カードに物理的にアクセスすることなく、不正なタップして支払う取引を実行できるようになっています。
Group-IBの研究者によって本日公開されたアドバイザリーで記録されたこの活動は、Telegramの中国語のサイバー犯罪コミュニティ内で売買・宣伝されているNFC対応アプリケーションに関わっています。
54個以上の悪意あるAPKサンプルが特定されており、その多くは正規の金融アプリまたは決済アプリに偽装されています。インストール後、マルウェアは攻撃者が近距離通信(NFC)データを遠隔でリレーすることを可能にし、詐欺的な取引を正規の対面支払いに見せかけます。
被害者は通常、スミッシングとビッシングキャンペーンを通じて狙われます。彼らは悪意あるアプリをインストールして支払いカードを電話にタップするよう説得されます。そこからカードデータはコマンド&コントロール(C2)サーバーを経由して犯罪者が管理するデバイスに送信され、違法に入手したPOS(販売時点情報管理)ターミナルを使用して取引が完了されます。
タップして支払うスキームの仕組み
この詐欺は一般的に2つの連携したアプリケーションに依存しています。
-
被害者の電話にインストールされたNFCカードデータをキャプチャする「リーダー」アプリ
-
犯罪者が支払いまたは現金化を行うために使用する「タッパー」アプリ
場合によっては、犯罪者は被害者との直接的な相互作用を完全にバイパスします。代わりに、侵害されたカードが事前ロードされたモバイルウォレットは、複数の国の実店舗で買い物をするためにミュール・ネットワークによって使用されます。
NFC決済詐欺の詳細:SuperCard Xはリアルタイムで非接触ATM詐欺を可能にします
Group-IBはTelegram上で運営されているいくつかの著名なベンダーを特定しました。TX-NFC、X-NFC、NFU Payが含まれます。これらのグループは短期トライアルから複数月のサブスクリプションまで、さまざまな料金でタップして支払うマルウェアへのアクセスを販売しています。TX-NFCだけでも21,000人以上のサブスクライバーを獲得したと報告されており、カスタマーサポートと異なる地域向けのカスタマイズされたビルドを提供しています。
2024年11月から2025年8月の間に、少なくとも35万5000ドルの違法取引が、Telegramで公然と広告していたあるPOS端末ベンダーにリンクされました。成功した現金化の領収書は信頼性を促進するために頻繁に共有されました。
拡大する世界的な影響
ヨーロッパ、アジア、米国全域での法執行機関の警告と逮捕は、これらのスキームの拡大する到達範囲を指摘しています。
チェコ共和国、シンガポール、マレーシア、米国の事件には、すべてモバイルデバイスを使用して物理カードなしで非接触決済を行う容疑者が関与しています。
Group-IBによると、タップして支払うマルウェアの検出は2024年半ばから2025年後半にかけて着実に増加しました。新しいバリアントが出現し続ける一方で、古いものは活発なままであり、この手法は詐欺ネットワーク間で広がっている可能性があることを示唆しており、置き換えられていません。
これおよび同様の脅威から身を守るために、Group-IBはユーザー教育と強化された詐欺監視の組み合わせを推奨しました。
同社は金融機関に対し、スミッシングとビッシングキャンペーンに関する認識を高め、モバイルウォレットへの急速なカード登録を監視し、広い地理的地域にわたって迅速に連続して発生する取引を監視するよう助言しました。
Group-IBはまた、悪意あるアプリケーションとユーザーデバイス上の異常な動作を検出するために、脅威インテリジェンスと詐欺保護ツールの使用と並行して、より強力なマーチャント審査と改善されたノウ・ユア・カスタマー(KYC)チェックを促しました。
翻訳元: https://www.infosecurity-magazine.com/news/ghost-tap-malware-remote-nfc-fraud/
