摘要：Cleafy研究团队发现新型恶意软件SuperCard X，该软件利用NFC中继技术伪造信用卡交易。其采用恶意软件即服务（MaaS）模式运作，具有低权限设计和mTLS加密通信机制，能够有效规避现有杀毒软件的检测。

安全公司Cleafy曝光一款名为SuperCard X的Android恶意软件，该软件利用NFC中继技术伪造实体信用卡实施诈骗。这款采用恶意软件即服务（MaaS）模式的黑产工具，凭借低检测率和实时数据传输能力，已在多起POS机盗刷和ATM非法取现案件中现身。

研究团队技术分析显示，SuperCard X包含两个核心组件：植入受害者设备的Reader模块和攻击者控制的Tapper模块。当用户授权NFC权限后，Reader会在后台拦截刷卡感应时传输的数据，通过HTTP协议与C2服务器进行通讯，将资料即时转发至Tapper端。最终攻击者利用Tapper模拟实体卡完成交易，从而绕过实体卡验证机制。

该中继攻击技术与开源项目NFCGate高度相似。研究团队发现，SuperCard X与ESET此前披露的捷克NGate恶意软件存在代码复用，推测其可能基于开源工具或旧版恶意软件二次开发，并引入商业化运营模式，使其具备模块化设计、账号管理和区域化部署等特性。

攻击手法呈现典型社会工程学特征：先通过短信或即时通讯发送银行警告信息，诱骗受害者拨打指定电话，再诱导受害者泄露其PIN码或解除卡片交易限制；再引导安装伪装成安全工具的Reader模块；最终以"安全验证"为名要求受害者将信用卡靠近手机完成数据窃取。

值得注意的是，SuperCard X仅申请NFC和基础网络权限，规避了短信拦截等高风险权限请求，配合采用mTLS加密的C2通信，使得传统安全软件难以识别。不同地区版本还呈现本地化特征，如意大利版移除自助注册功能，改为预置账号降低操作门槛。最新版本甚至删除了Telegram支持信息，显示其反侦查能力持续升级。