SuperCard X Mobile Malware
Неизвестна досега платформа за Android Malware-as-a-Service (MaaS), наречена SuperCard X, прави вълни в света на киберпрестъпността. Той дава възможност на нападателите да извършват релейни атаки за комуникация в близко поле (NFC), което позволява измамни транзакции и тегления от банкомат. Насочен към банкови клиенти в Италия, смята се, че този зловреден софтуер се популяризира чрез канали на Telegram, разширявайки обхвата си чрез подземни киберпрестъпни мрежи.
Съдържание
Измамната входна точка: Социалното инженерство в най-лошия му вид
SuperCard X използва многоетапна верига за атака, започваща с класически тактики за социално инженерство. Жертвите са примамвани чрез осмиващи кампании или фалшиви съобщения в WhatsApp, които се представят за банки, предупреждават потребителите за подозрителна дейност и ги подканват да се обадят на телефонен номер.
След като се установи контакт, тактиката ескалира в телефонно-ориентирана атака (TOAD). По време на тези обаждания нападателите убеждават жертвите да инсталират нещо, което изглежда като защитен софтуер. Приложенията, използвани в този трик, включват:
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Жертвите също са манипулирани да разкриват ПИН кодове и да премахват лимитите на транзакциите, подготвяйки почвата за мащабна финансова кражба.
Релейният механизъм: как работи тактиката
В основата на SuperCard X е усъвършенствана NFC релейна техника. Ето как работи:
- Жертвите са помолени да държат своята кредитна или дебитна карта близо до заразения си телефон.
- Приложението Reader на телефона на жертвата улавя предадените чрез NFC данни от картата.
- Тази информация се изпраща чрез HTTP към приложение Tapper на устройството на атакуващия.
- Приложението Tapper емулира данните от откраднатата карта, позволявайки на нападателите да извършват неоторизирани PoS или ATM транзакции.
За да свържат устройствата, жертвите са инструктирани да въведат идентификационни данни за вход по време на разговора – идентификационни данни, които свързват заразеното устройство (Четец) с екземпляра на Tapper на атакуващия.
Персонализиране, комуникация и контрол
SuperCard X е модулна и може да се персонализира, с вариации в интерфейса за влизане, което предполага, че различни престъпни филиали я приспособяват към своите специфични кампании. Той също така използва взаимен TLS (mTLS) за криптирана комуникация сред злонамерения софтуер и неговата инфраструктура за командване и контрол (C2).
За да работят, киберпрестъпниците трябва първо да регистрират акаунт в платформата SuperCard X, което им позволява да генерират персонализирани компилации на злонамерен софтуер и да управляват безпроблемно релета за NFC данни.
Да останем в безопасност: Какво трябва да знаят потребителите
Въпреки напредналите тактики, има начини да останете защитени:
- Избягвайте да инсталирате приложения от неизвестни източници или връзки, изпратени чрез SMS/WhatsApp.
- Проверете внимателно разрешенията, рецензиите и описанията на приложението, преди да го изтеглите.
- Дръжте Google Play Protect активиран, за да сканира и блокира подозрителни приложения.
- Пазете се от спешни съобщения, които ви подканват да се обадите на номер или да предоставите чувствителни данни.
Съобщава се, че Google разработва нови функции на Android, за да блокира инсталирането на приложения от непроверени източници и да ограничи разрешенията за достъпност, като целта е да прекъсне метода на разпространение на този зловреден софтуер при източника.
По-голямата картина
SuperCard X не е просто още един зловреден софтуер – той представлява заплашителна еволюция във финансовите киберпрестъпления. Използването на технологията за безконтактни карти въвежда мащабируем метод за нападателите да заобиколят защитата на физическата карта. Тъй като се разширява, той представлява сериозна заплаха не само за банковите институции, но и за доставчиците на плащания и издателите на карти по целия свят.
