一种特别危险的安卓恶意软件出现，它可以窃取银行卡信息。

想象一下，你收到一条看似来自银行的短信，提醒你存在“可疑交易”，并要求你立即拨打客服热线。出于谨慎，你照做了。电话那头传来一个平静而令人信服的声音：“别担心，我们会一步一步地指导你。”

短短几分钟内，你就在不知不觉中落入了网络犯罪分子的陷阱，他们安装了恶意软件，泄露了你的PIN码，取消了交易限额，并应要求将你的账户数据全部清除。而这一切，似乎都建立在你合理的信任之上。

这就是 SuperCard X——一种新一代恶意软件变种，意大利安全公司 Cleafy 的专家警告称其“几乎隐形、极其复杂且有效”。

该恶意软件属于“恶意软件即服务”（MaaS）模式，由讲中文的黑客组织开发。

SuperCard X 利用 Android 设备漏洞，使用 NFC 中继攻击技术进行盗窃、窃取卡片信息，甚至在您毫不知情的情况下提取资金。

SuperCard X恶意软件是如何运作的？

SuperCard X 的危险之处在于其高度复杂的多层攻击能力。一切都始于一条伪造的短信（可能是SMS），声称您的银行账户已被盗用。

接下来，骗子会直接打电话给你，用礼貌可信的语气引导你。一旦建立起足够的信任，他们就开始操纵你，要求你提供密码、取消银行卡的消费限额，并安装一个伪装成“增强安全”的恶意应用程序。

最后一步看似无害却致命：他们会要求你用手机轻触银行卡“进行验证”。但实际上，恶意应用程序会悄悄地通过近场通信 (NFC) 读取数据，然后将其传输到攻击者控制的克隆卡设备上。有了克隆卡，他们就能轻松地在 ATM 机上进行非接触式取款，几乎不留任何痕迹。

此次诈骗活动已在意大利、美国等多个国家出现受害者，与中国相关的网络犯罪团伙有关。

此前，总部位于斯洛伐克的网络安全公司 ESET 的专家也发现了利用 NFC 技术攻击捷克共和国三家主要银行用户的 Android 恶意软件。

在对抗恶意软件的斗争中，人为因素至关重要。

SuperCard X 的危险之处不仅在于其复杂的恶意软件，还在于人为因素。

据美国安全公司 Cequence 的首席信息安全官 Randolph Barr 称，如今大多数攻击仍然具有明显的地域性，有迹象表明它们针对的是特定区域。

他强调：“如果这种威胁普遍存在，很大程度上是因为用户受到社会工程攻击的操纵，被说服关闭内置的保护机制，这是一个令人担忧的警告信号。”

另一个潜在风险来自平台本身。巴尔表示，安卓用户在亚洲的比例尤其高，这可能使该地区更容易受到攻击。这是因为在侧载应用很普遍的地区，安全屏障本身就比较低。

安卓系统因其灵活性而备受青睐，但也为像SuperCard X这样的复杂诈骗打开了方便之门。与此同时，iOS生态系统凭借其严格的限制，尤其是在NFC访问方面，更好地保护了用户。

安全专家巴尔表示：“虽然这些限制有时被批评为过于严格，但从安全角度来看，这些限制实际上是一层有价值的保护。”

尽管恶意软件变得越来越智能，但社交工程攻击的伎俩依然如故。“安卓用户需要更好地识别欺诈迹象，有时只需停下来验证请求的合法性就足以避免风险，”巴尔警告说。