はじめに
近距離無線通信(NFC)リレー型マルウェアが東欧で爆発的に普及しており、過去数ヶ月間で760以上の悪意あるAndroidアプリが、この手法を用いて人々の決済カード情報を窃取していることが研究者によって明らかになりました。従来のバンキング型トロイの木馬がオーバーレイを使用して銀行の認証情報を盗んだり、リモートアクセスツールで不正な取引を行ったりするのとは異なり、NFCマルウェアはAndroidのホストカードエミュレーション(HCE)を悪用し、非接触型クレジットカードや決済データをエミュレートまたは窃取します。
NFCリレー型マルウェアの仕組み
このマルウェアは、EMVフィールドを捕捉し、POS端末からのAPDUコマンドに対して攻撃者が制御する応答を返したり、端末からの要求をリモートサーバーに転送したりします。リモートサーバーは適切なAPDU応答を作成し、物理的なカード所有者がいなくても端末での支払いを可能にします。
脅威の拡大と進化
この手口は2023年にポーランドで初めて確認され、その後チェコ共和国、そしてロシアで大規模な攻撃が展開されました。時間の経過とともに、以下のような異なるアプローチをとる複数の亜種が出現しています。
- EMVフィールドをTelegramなどのエンドポイントに流出させるデータハーベスター
- APDUをリモートのペアリングされたデバイスに転送するリレーツールキット
- HCE応答を操作してPOS取引をリアルタイムで承認する「ゴーストタップ」決済
- Androidでデフォルトの決済ハンドラーとして登録されるPWAまたは偽の銀行アプリ
東欧での急増とZimperiumの報告
Googleの「App Defense Alliance」のメンバーであるモバイルセキュリティ企業Zimperiumによると、AndroidにおけるNFCマルウェアの人気は最近、特に東欧で急増しています。「わずかな孤立したサンプルから始まったものが、現在では760以上の悪意あるアプリが確認されるまでに拡大しており、NFCリレーの悪用が減速するどころか加速し続けていることを示しています」とZimperiumは説明しています。以前に他のベンダーによって文書化されたキャンペーンは、ロシア、ポーランド、チェコ共和国、スロバキアなどの追加地域にも拡大しています。
同社は、これらのキャンペーンを支援する70以上のコマンド&コントロール(C2)サーバーとアプリ配布ハブ、および盗まれたデータを流出させたり操作を調整したりするために使用される数十のTelegramボットとプライベートチャンネルを特定しました。
偽装アプリによる配布
マルウェアの配布に使用されるアプリは、Google Payや、サンタンデール銀行、VTB銀行、ティンコフ銀行、ING銀行、ブラデスコ銀行、プロムスヴィャジバンク(PSB)など、複数の金融機関を偽装しています。
対策と推奨事項
Androidユーザーは、発行元を明確に信頼できる場合を除き、Google Play以外からAPKをインストールしないこと、銀行アプリは公式の銀行リンクからのみインストールすること、そしてNFCアクセスやフォアグラウンドサービス権限などの不審な権限がないか確認することが推奨されます。さらに、Androidに内蔵されているマルウェア対策ツールであるPlay Protectでデバイスを定期的にスキャンし、不要な場合はNFCを無効にすることも推奨されます。Zimperiumが発見したAPKの完全なリストはこちらで入手可能です。