NFC 릴레이 기법 악용한 안드로이드 악성코드 ‘SuperCard X’ 등장

New Android SuperCard X Malware Uses NFC-Relay Technique for POS & ATM Transactions

 

SuperCard X Android Malware Enables Contactless ATM and PoS Fraud via NFC Relay Attacks

 

• 개요
  • 새로운 안드로이드 기반 악성코드 SuperCard X가 이탈리아에서 활동 중인 사기 캠페인에서발견됨
  • 이 악성코드는 근거리무선통신(NFC) 릴레이 기술을 활용하여 POS(판매시점관리시스템)와 ATM에서 비접촉식 금융 사기를 수행함
  • Malware-as-a-Service(MaaS) 형태로 유포되고 있으며, Telegram 등 다크웹 채널을 통해 확산 중
• 공격 기법 및 감염 경로
  • 피해자는 스미싱(SMS 기반 피싱) 및 전화 기반 사회공학(Telephone-Oriented Attack Delivery, TOAD)을 통해 악성 앱을 설치하도록 유도됨
  • 공격자는 사용자를 속여 카드 보안 관련 앱인 것처럼 Reader 앱을 설치하게 하고, 이를 통해 NFC 신용카드 정보를 수집
  • 사용자 카드가 스마트폰에 가까이 접근되면 카드 정보가 탈취되어 C2(Command and Control) 서버를 통해 공격자의 Tapper 앱으로 전달됨
  • Tapper 앱은 카드 데이터를 복제하여 POS 및 ATM 단말기에 정상 카드처럼 인식시켜 사기 거래 수행
• 기술적 특징 및 위협성
  • SuperCard X는 탐지율이 낮은 점이 특징이며, NFC 데이터 수집에만 초점을 맞추어 과도한 권한 요청이 없어 보안 솔루션 우회 가능
  • Reader와 Tapper는 mTLS(상호 인증 TLS)를 통해 통신하여 C2 인프라 보호
  • 앱별로 로그인 화면이 상이하며, 이는 각 캠페인 목적에 따라 맞춤형 빌드(Custom Build)가 이루어진 것으로 판단됨
  • 과거 발견된 안드로이드 악성코드 NGate와 코드베이스 유사성을 보여 기존 기술에서의 진화 가능성 존재
• 발견된 악성 앱 및 C2 서버
  • 악성 앱
    • Verifica Carta (io.dxpay.remotenfc.supercard11)
    • SuperCard X (io.dxpay.remotenfc.supercard)
    • KingCard NFC (io.dxpay.remotenfc.supercard)
  • C2 서버
    • api.kingcardnfc[.]com
    • api.kingnfc[.]com
    • api.payforce-x[.]com
• 보안 권고
  • 출처가 불분명한 앱 설치를 완전 차단하고, Google Play Protect를 항상 활성화
  • SMS 기반 보안 경고나 의심스러운 번호로부터의 전화에 대해 직접 앱 설치나 카드 정보 입력을 지양
  • NFC 기능 상시 활성화 비권장, 필요 시에만 활성화하도록 설정
  • 금융기관은 TOAD 유형 공격을 탐지하기 위해 전화 상담 중 앱 설치 시도 또는 권한 변경 탐지 로직 강화
  • 악성 앱 해시 및 IOC 정보를 기반으로 위협 인텔리전스 연동 및 탐지 체계 강화 필요
• 결론
  • SuperCard X는 NFC 기술을 악용한 신종 모바일 금융 사기 수단으로, 카드사 및 결제 서비스 제공자에게 실질적 위협을 가함
  • 통상적인 뱅킹 악성코드를 넘어, 직접 결제 인프라를 공격 대상으로 삼은 점에서 보안 정책의 전면적인 재검토 필요
  • 보안 제품은 NFC 통신 모니터링 강화, 모바일 TOAD 공격 시나리오 반영, MaaS 기반 캠페인 동향 분석을 필수적으로 반영해야 함