首頁 > 安全研究 > 安全通報 > 安全簡訊

SuperCard X利用NFC中繼攻擊瞄準Android設備

發布時間 2025-04-21

1. SuperCard X利用NFC中繼攻擊瞄準Android設備


4月19日,新型惡意軟件即服務(MaaS)平臺“SuperCard X”已現身,該平臺針對Android設備,通過NFC中繼攻擊實施銷售點及ATM交易欺詐,利用泄露的支付卡數據非法獲利。此平臺代碼與開源項目NFCGate及其惡意變種NGate存在相似性,后者自去年起在歐洲頻繁發動攻擊。SuperCard X通過Telegram頻道進行推廣,并為“客戶”提供直接支持。移動安全公司Cleafy在意大利監測到利用此惡意軟件的攻擊活動,這些攻擊涉及多個樣本,顯示其聯盟會員可根據地域或特定需求定制版本。攻擊流程始于受害者收到冒充銀行的虛假信息,隨后騙子通過社交工程手段誘騙受害者提供卡號和PIN碼,并誘導其安裝偽裝成安全或驗證工具的惡意應用“Reader”。安裝后,該應用僅請求訪問NFC模塊的權限,進而竊取支付卡數據。攻擊者利用竊取的數據在Android設備上模擬受害者的卡,進行非接觸式支付和ATM取款。值得注意的是,SuperCard X目前尚未被VirusTotal上的任何防病毒引擎標記,且由于不包含危險權限請求和攻擊性功能,能夠規避啟發式掃描的檢測。


https://www.bleepingcomputer.com/news/security/supercard-x-android-malware-use-stolen-cards-in-nfc-relay-attacks/


2. Erlang/OTP SSH嚴重漏洞現已公開,請立即修補


4月19日,近日,針對Erlang/OTP SSH的一個嚴重漏洞(CVE-2025-32433)的公開攻擊已浮出水面,該漏洞允許未經身份驗證的攻擊者在受影響設備上遠程執行代碼,德國波鴻魯爾大學研究人員于周三披露了此漏洞,并警告所有運行該守護進程的設備均存在風險。漏洞源于SSH協議消息處理中的一個缺陷,使得攻擊者能在身份驗證前發送連接協議消息。盡管該漏洞已在25.3.2.10和26.2.4版本中修復,但由于Erlang/OTP常用于電信基礎設施、數據庫和高可用性系統,設備更新可能并不容易。然而,情況更為緊迫的是,多名網絡安全研究人員已私下創建了可在易受攻擊設備上實現遠程代碼執行的漏洞,其中包括Zero Day Initiative的Peter Girnus和Horizon3的研究人員,他們均表示該漏洞極易被利用。不久后,ProDefense在GitHub上發布了PoC漏洞,并在Pastebin上匿名發布了另一個漏洞,兩者均在社交媒體上迅速傳播。鑒于SSH是最常用的遠程訪問管理協議,且電信公司頻繁成為國家級APT攻擊的目標,研究人員強烈建議所有運行Erlang OTP SSH的設備在受到威脅者攻擊之前立即升級。


https://www.bleepingcomputer.com/news/security/public-exploits-released-for-critical-erlang-otp-ssh-flaw-patch-now/


3. Kairos組織泄露巴爾的摩市檢察官辦公室數據


4月19日,近日,一起涉及馬里蘭州巴爾的摩市檢察官辦公室的數據泄露事件引發關注。名為Kairos的組織于2025年3月31日將stattorney[.]org添加到其泄密網站,并聲稱獲取了325GB文件,包括犯罪受害者和犯罪者的敏感信息。盡管DataBreaches多次詢問,但州檢察官辦公室始終未就數據泄露事件作出回應,其網站上亦無相關披露。據Kairos稱,他們通常給予目標7天時間聯系,否則將在網站上發布倒計時。在本案中,Kairos在將州政府機構列入泄密網站約5天后,收到州檢察官辦公室的信件,要求不要發布任何信息,隨后雙方開始談判。然而,談判短暫且未果,州檢察官辦公室要求提供所有下載文件的清單,并選擇5個文件進行提交,之后談判結束。DataBreaches對數據集的檢查證實了Kairos的說法,他們下載了大量刑事案件文件,包括罪犯和受害者的個人信息,其中許多記錄涉及青少年,并提供了他們的犯罪、安置、治療和職業再培訓等細節。此外,DataBreaches還發現了關于警員調查的報告,以及包含巴爾的摩警察局6350多名警員姓名、職級和疑似個人電話號碼的電子表格。


https://databreaches.net/2025/04/19/baltimore-city-states-attorneys-office-hacked-data-leaked/


4. 華碩路由器AiCloud功能現嚴重身份驗證繞過漏洞


4月18日,華碩近日發出安全警告,指出啟用AiCloud功能的路由器存在嚴重身份驗證繞過漏洞(CVE-2025-2492,CVSS v4評分:9.2)。該漏洞允許遠程攻擊者無需身份驗證,通過特制請求在設備上執行未經授權的功能,風險極高。華碩公告指出,部分路由器固件系列存在不當的身份驗證控制,該漏洞可能由精心設計的請求觸發,進而導致未經授權的功能執行。AiCloud作為華碩路由器內置的基于云的遠程訪問功能,可將路由器轉變為微型私有云服務器,允許用戶遠程訪問文件、流媒體、同步文件及共享文件。然而,此漏洞影響廣泛,已針對多個固件分支發布修復程序,包括3.0.0.4_382系列等。為保障安全,華碩建議用戶立即升級到最新固件版本,可在供應商的支持門戶或產品查找頁面獲取。同時,用戶應使用不同密碼保護無線網絡和路由器管理頁面,確保密碼至少10個字符長且包含字母、數字和符號。對于受影響的停產產品用戶,建議完全禁用AiCloud并關閉相關服務的互聯網訪問。


https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-routers-using-aicloud/


5. Chrome擴展程序惡意功能網絡,600萬用戶受影響


4月18日,Secure Annex研究員John Tuckner發現一個由58個Chrome擴展程序組成的惡意網絡,總安裝量達600萬次。這些擴展程序偽裝成隱私或實用工具,如優惠券查找器、廣告攔截器等,甚至有些聲稱能保護用戶免受其他惡意擴展程序侵害,但均獲得過于寬泛的權限,并包含隱藏的潛在惡意功能,如訪問Cookie和令牌、監視用戶行為、運行遠程代碼以及檢索其他敏感數據。這些擴展程序大多未公開,無法通過Chrome網上應用店或搜索引擎找到,只能通過惡意鏈接傳播。研究人員指出,此類擴展程序存在巨大安全隱患,部分已被谷歌評為“推薦”卻無法被發現,容易誤導用戶。Tuckner最初通過拼寫錯誤的域名識別出35個未公開的疑似惡意擴展程序,后在Obsidian Security的幫助下更新了列表。據報道,谷歌已知曉這項研究,并已下架部分可疑擴展程序,但并非全部。報告提供了完整的入侵指標列表,并警告稱,過于寬泛和侵入性的權限、域名拼寫錯誤以及大量經過嚴重混淆的代碼,都是擴展程序可能存在惡意行為的跡象。


https://cybernews.com/security/network-of-chrome-extensions-contain-secret-code-to-track-users/


6. 新型Gorilla Android惡意軟件攔截OTP短信


4月19日,網絡安全領域出現一種名為“Gorilla”的復雜新型Android惡意軟件,其目標直指包含一次性密碼(OTP)的短信攔截。該惡意軟件在后臺悄然運行,借助Android權限系統竊取受感染設備上的敏感信息。初步分析顯示,Gorilla主要瞄準銀行客戶及Yandex等熱門服務用戶,對竊取的短信進行細致分類,以便攻擊者輕松利用。Gorilla利用關鍵的Android權限訪問SIM卡信息及設備電話號碼,并通過WebSocket協議與C2基礎設施建立持久連接,實現實時通信與數據泄露。為逃避檢測,該惡意軟件采用不尋常技術,避免使用可能引起懷疑的 API,轉而查詢啟動器意圖以收集已安裝應用程序信息。C2面板揭示了Gorilla的復雜操作,竊取的短信被有條不紊地組織在“銀行”和“Yandex”等標簽下,顯示出其針對金融信息和熱門服務的精準打擊。該惡意軟件通過一系列后臺服務持續運行,利用startForeground API及FOREGROUND_SERVICE權限顯示通知,掩蓋其惡意活動。技術分析顯示,Gorilla的命令結構包含三種主要操作類型,其中“send_sms”命令尤為關鍵,允許攻擊者從受感染設備發送自定義短信。


https://cybersecuritynews.com/new-gorilla-android-malware-intercept-sms-messages/

上一篇 下一篇