はじめに:「Ghost Tap」攻撃とは
中国の脅威アクターがNFC技術を悪用し、洗練されたAndroidマルウェアキャンペーンを通じて被害者の銀行口座から遠隔で資金を盗み出しています。セキュリティ研究者らは、単一のオペレーションで少なくとも355,000ドルの不正取引を確認しました。
Group-IBの研究者らは、NFC対応Androidアプリケーションを中心とした広範なサイバー犯罪エコシステムを発見しました。「Ghost Tap」と名付けられたこれらの悪意のあるアプリケーションは、近距離無線通信(NFC)技術を利用して、被害者のデバイスから攻撃者のデバイスへ支払いデータを中継し、物理的に支払いカードに触れることなく銀行口座から資金を抜き取ることが可能です。
攻撃の手口:複雑なリレーメカニズム
「Ghost Tap」スキームは、2つの特殊なアプリケーションを介した巧妙なリレーメカニズムで動作します。一つは被害者のデバイスにインストールされる「リーダー」、もう一つは攻撃者のデバイスにインストールされる「タッパー」です。
犯罪者は、スミッシング(SMSフィッシング)やビッシング(音声フィッシング)キャンペーンを通じて被害者を誘い込み、悪意のあるAPKファイルをインストールさせ、銀行カードをAndroidデバイスにかざすように仕向けます。被害者のカードが侵害されたスマートフォンに接触すると、マルウェアはNFC支払いデータをキャプチャし、コマンド&コントロール(C2)サーバーを介して攻撃者のデバイスに中継します。
その後、サイバー犯罪者は不正に入手したPOS端末を使用して盗んだ資金を現金化し、被害者のカードが物理的に存在するかのように取引を完了させます。別のシナリオでは、犯罪者は侵害されたカード情報でモバイルウォレットを事前ロードし、世界中に配置された「ミュール(運び屋)」のネットワークを利用して、改変されたタップ・トゥ・ペイアプリケーションで実店舗での購入を行います。
マルウェアエコシステムと闇市場
Group-IBの調査により、54を超えるAPKサンプルが特定され、一部のマルウェアは正規の銀行アプリケーションを装っていました。この調査では、Telegram上の中国のサイバー犯罪コミュニティ内で活動する主要なマルウェアベンダーとして、TX-NFC、X-NFC、NFU Payの3つが明らかになりました。
- TX-NFC:最大のベンダーで、2025年1月にTelegramチャンネルを開設し、急速に21,000人以上の購読者を集めました。英語でのカスタマーサポートを提供し、マルウェアの価格は1日アクセスで45ドルから、3ヶ月間のサブスクリプションで1,050ドルに設定されています。
- X-NFC:2024年12月に登場し、5,000人以上のメンバーがいます。
- NFU Pay:購読者数は少ないものの、他のベンダーによって異なる名前で再配布されています。
これらのベンダーは常に提供するものを進化させており、NFU Payはブラジルやイタリアなどの特定の国向けにカスタマイズされたビルドを提供し、被害者をより迅速にターゲットにするためにログイン要件を削除するなどの変更を行っていると報じられています。このアプリケーションには2つのアクティビティコンポーネントがあり、そのうちの1つ「LoginActivity」はユーザー認証を処理し、アプリケーションのメインエントリーポイントとして機能します。
マルウェアエコシステムを補完するのは、不正に入手されたPOS端末の活況な市場です。TX-NFCベンダーと提携するTelegramチャンネル「Oedipus」は、中東、アフリカ、アジアの金融機関からのPOS端末を公然と宣伝しています。2024年11月以降、この単一のオペレーションで、これらの盗まれた端末を使用して約355,000ドルの不正取引が行われました。
世界的な対応と摘発事例
世界中の当局がこの新たな脅威に対応し始めています。注目すべき逮捕事例としては、2025年3月にテネシー州ノックスビルで、これらのAndroidアプリケーションを使用して数万ドル相当のギフトカードを購入したとして、11人の中国人国民が逮捕されました。これは米国でこの種の初の逮捕となりました。
2024年11月には、シンガポール当局が物理的なカードなしで高額店舗で非接触型決済を行っていた5人を逮捕しました。チェコ警察、マレーシア当局、中国の法執行機関も、これらのNFCリレー攻撃に関連する逮捕を行っています。
Visa Payment Ecosystem Risk and Controlチームの2025年春の半年次脅威レポートは、NFC対応の悪意のあるアプリケーションによるリレー詐欺の継続的な使用を具体的に強調しており、Credit Chinaは被害者がこれらのスキームにより少なくとも13,000ドルを失ったケースを詳細に記述した勧告を発行しました。
技術的分析
マルウェアを分析したセキュリティ研究者らは、TX-NFCのようなアプリケーションが中国の商用パッカーである「360 Jiagu」を使用して難読化およびパックされていることを発見しました。Group-IBの不正防止データによると、2024年5月から2025年12月にかけて、タップ・トゥ・ペイマルウェアサンプルの検出が着実に増加していることが観察されています。
このマルウェアは、NFCハードウェアアクセス、インターネット接続、フォアグラウンドサービス機能などの重要な権限を要求し、ユーザーがアクティブにデバイスを使用していない間でも持続性を維持します。これらのアプリケーションは、特にISO 14443非接触型決済カードと様々なNFCタグタイプを標的としています。
NFC対応決済カードを検出すると、マルウェアは「2PAY.SYS.DDF01」コマンドを送信して近接決済システム環境との通信を開始し、利用可能なアプリケーション識別子を保存した後、WebSocketサービスを通じてすべてのデータを攻撃者のコマンド&コントロールインフラストラクチャに中継します。コード分析により、一部の亜種はGitHubで利用可能なオープンソースプロジェクト「NFCProxy」に基づいていることが明らかになり、サイバー犯罪者が合法的な技術を悪意のある目的にどのように適合させているかを示しています。