Slapdash Safeguards

にわか仕込みのセキュリティ

リモートでカード決済を可能にするマルウェア「Ghost Tap」

by skybreaker 脅威情報

少しお高いスマホならNFC機能が付いてるので、決済用カードを読み込ませてオンラインで支払いしたり、登録しておいたカードをお店で使える。

何とこのNFC機能をプロキシするマルウェアが売り出されているらしい。

カードが手元に無くともリモートで勝手に決済する。

何それ。

Ghost Tapped: Tracking the Rise of Chinese Tap-to-pay Android Malware | Group-IB Blog

Groupe-IBのGhost Tappedイメージ図(https://www.group-ib.com/blog/ghost-tapped-chinese-malware/)

KrebsOnSecurityより実際の動作
www.youtube.com

実際のサービス名は色々

2年くらい前から話題になってたんですね。知らんかったです。

NGate
ZNFC
SuperCard X
PhantomCard

Telegramではこうやってできるとか、ちゃんと成功するとか色々なアピールがあるらしい。

アプリをインストールさせてカードを読み込んだときのデータを飛ばして決済、盗んだカードのデータを飛ばして決済という感じ。

githubで似たような機能を持ったものが過去に公開されていた

nfcproxyといういかにもな感じのandroidアプリが14年前くらいに公開されていた。

nfcproxyって一体どういうときにやりたくなるんだ?

今聞くと悪用の匂いしかしないが、こういうことができる機能があるんだよくらいの紹介だと悪用にも中々結びつかないような気がする。

うーむ、着眼点が凄いな。

ローカルでしか使えないと思っていたものが、まさかのリモートでも使えるようになる。WifiBluetoothも実はこういう攻撃ツールが既に出回っていたりするんだろうか。

余談「Tap ’n Ghost」

検索してたら、偶々出てきた。

NFCのスキャナーを図書館とかのテーブルに埋め込んでおいて、そこにNFC対応スマホが置かれたときにBloothデバイスとして勝手にペアリングしたり、アプリインストールさせようとする攻撃方法に、名前を付けたらしい。

Tap ’n Ghost: A Compilation of Novel Attack Techniques against Smartphone Touchscreens

これはこれでおもろい。

まぁでも確かに、スマートデバイスがさらに増えて何でもネットワークに繋がって公共の場でも変なデバイスが増えてくると、今まで疑う必要の無かったあらゆるものを疑う必要がある時代が来るか?