Aggregator

一种名为“SuperCard X”的新型恶意软件即服务（MaaS）平台已经出现，该平台通过NFC中继攻击安卓设备，使销售点和ATM交易能够使用受损的支付卡数据。

SuperCard X是由移动安全公司Cleafy发现的，该公司报告称，在意大利发现了利用这种安卓恶意软件的攻击。这些攻击涉及多个具有细微差异的样本，表明分支机构可以根据区域或其他特定需求定制构建。

SuperCard X攻击是如何展开的

攻击开始时，受害者会收到一条假冒银行的假短信或WhatsApp消息，声称他们需要拨打一个号码来解决可疑交易引起的问题。

接电话的是一名冒充银行客服人员的骗子，他利用社会工程学欺骗受害者“确认”他们的卡号和密码。然后，他们试图说服用户通过他们的银行应用取消消费限制。

最后，威胁者说服用户安装一个伪装成安全或验证工具的恶意应用程序（Reader），其中包含SuperCard X恶意软件。

安装后，Reader app只需要很少的权限，主要是NFC模块的访问权限，这就足够进行数据窃取了。

诈骗者指示受害者将他们的支付卡轻敲到他们的手机上以验证他们的卡，允许恶意软件读取卡芯片数据并将其发送给攻击者。

攻击者在他们的安卓设备上接收这些数据，该设备运行另一个名为Tapper的应用程序，该应用程序使用被盗数据模拟受害者的卡片。

这两款应用和设备参与了此次攻击

这些“模拟”卡允许攻击者在商店和自动取款机上进行非接触式支付，但金额有限制。由于这些小额交易是即时的，对银行来说似乎是合法的，因此它们更难被标记和逆转。

SuperCard X攻击概述

规避恶意软件

Cleafy指出，SuperCard X目前没有被VirusTotal上的任何防病毒引擎标记，并且没有危险的权限请求和侵略性攻击功能，如屏幕覆盖，确保它不受启发式扫描的影响。

该卡的仿真是基于atr （Answer to Reset）的，这使得该卡在支付终端看来是合法的，显示了技术的成熟度和对智能卡协议的理解。

另一个值得注意的技术方面是使用互TLS （mTLS）进行基于证书的客户机/服务器身份验证，保护C2通信免受研究人员或执法部门的拦截和分析。

保密通信系统

根据目前的检测，谷歌Play上没有发现包含此恶意软件的应用程序。Android用户将自动受到谷歌Play Protect的保护，该保护在带有谷歌Play Services的Android设备上默认是开启的。谷歌Play Protect可以提醒用户或阻止已知表现出恶意行为的应用，即使这些应用是来自Play之外的来源。

RSA Conference Dispatch: Beyond the Briefings. Beneath the Buzz. John Boyle Uncovers and Shares Gems from RSAC 2025

The post RSA Conference Dispatch: Mr. NHI – Leading the Movement to Expose Cybersecurity’s Biggest Blind Spot! appeared first on Security Boulevard.

4月28日，在第八届数字中国建设峰会期间，第二届“长城杯”信息安全铁人三项赛（防护赛）总决赛在福建福州举办。本届大赛由中央网络安全和信息化委员会办公室、教育部、国家市场监督管理总局、国家数据局指导，中国信息安全测评中心、北京师范大学、中国电信集团有限公司、中国移动通信集团有限公司联合主办。第十二届全国政协副主席、国家电子政务专家委员会主任王钦敏出席活动并致闭幕辞。

第十二届全国政协副主席、国家电子政务专家委员会主任王钦敏致辞

本届大赛以“智能防护，开启数字安全新时代”为主题，经过线上初赛、半决赛的激烈角逐，来自84所高校的100支参赛队伍、近400名参赛学生会师总决赛。

总决赛现场

福建省委常委、常务副省长王永礼专程到比赛现场看望大赛组委会同志和参赛选手，福建省政协副主席黄如欣也出席此次活动。总决赛开幕仪式上，国家数据局数字科技和基础设施建设司司长杜巍、中国信息安全测评中心主任彭涛、中国电信集团有限公司网络和信息安全管理部总经理谷红勋、中国移动通信集团有限公司网络与信息安全管理部副总经理袁捷等嘉宾致辞，大赛主办、承办单位的代表共同启动本次总决赛。

国家数据局数字科技和基础设施建设司司长杜巍致辞

中国信息安全测评中心主任彭涛致辞

中国电信集团有限公司网络和信息安全管理部总经理谷红勋致辞

中国移动通信集团有限公司网络与信息安全管理部副总经理袁捷致辞

总决赛启动现场

经过7小时激烈角逐及大赛裁判组严格评审，本次总决赛评比出一、二、三等奖和专项奖。来自广州大学、南京邮电大学通达学院、合肥师范学院的队伍获得一等奖；来自浙江师范大学、吉林大学、国防科技大学、哈尔滨工业大学、西北工业大学、西北大学、山东警察学院、安徽工业经济职业技术学院、北京航空航天大学、中山大学、五邑大学、安徽大学、上海交通大学、南昌航空大学科技学院、广东外语外贸大学等15所高校的队伍获得二等奖；来自东南大学无锡校区的队伍获得逆向分析专项奖，来自南京航空航天大学的队伍获得人工智能专项奖，来自电子科技大学的队伍获得网络渗透专项奖；此外，来自全国高校的79支队伍获得三等奖。

颁奖仪式现场

与会嘉宾认为，随着AI技术的迅猛发展以及行业渗透加快，网络空间安全形势渐趋复杂。作为一项面向高等院校全日制在校生的公益性科技类竞赛，本届大赛通过模拟真实的网络环境和企业计算环境，检验了参赛选手的网络安全实战能力，不仅为高校网络安全专业学生提供了一个展示才华的舞台，也为网络安全产业的发展引入了新的生力军。期待未来有更多高校网络安全专业学生踊跃参赛，加快推动网络空间创新发展、安全发展、普惠发展，携手迈进更加美好的“数字未来”。

本届大赛由中国信息产业商会信息安全产业分会、北京中测安华科技有限公司、《中国信息安全》杂志社有限公司、启明星辰信息技术集团股份有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、北京西普阳光科技有限公司、网安世纪科技有限公司、奇安信科技集团股份有限公司、永信至诚科技集团股份有限公司、北京长亭科技有限公司、福州大学网络系统信息安全福建省高校重点实验室等单位承办。