SuperCard X Mobile Malware

En hidtil ukendt Android Malware-as-a-Service (MaaS) platform ved navn SuperCard X laver bølger i cyberkriminalitetsverdenen. Det giver angribere mulighed for at udføre NFC-relæangreb (nærfeltkommunikation), hvilket muliggør svigagtige transaktioner og hævninger fra hæveautomater. Denne malware er rettet mod bankkunder i Italien og menes at blive promoveret gennem Telegram-kanaler, hvilket udvider dens rækkevidde gennem underjordiske cyberkriminelle netværk.

Det vildledende indgangspunkt: Social Engineering når det er værst

SuperCard X anvender en flertrins angrebskæde, der starter med klassisk social engineering taktik. Ofre lokkes gennem smishing-kampagner eller falske WhatsApp-beskeder, der efterligner banker, advarer brugere om mistænkelig aktivitet og beder dem om at ringe til et telefonnummer.

Når først kontakt er skabt, eskalerer taktikken til en telefonorienteret angrebslevering (TOAD). Under disse opkald overbeviser angribere ofrene om at installere, hvad der ser ud til at være sikkerhedssoftware. De apps, der bruges i dette trick inkluderer:

• Verifica Carta (io.dxpay.remotenfc.supercard11)
• SuperCard X (io.dxpay.remotenfc.supercard)
• KingCard NFC (io.dxpay.remotenfc.supercard)

Ofre bliver også manipuleret til at afsløre PIN-koder og fjerne transaktionsgrænser, hvilket sætter scenen for storstilet økonomisk tyveri.

Relæmekanismen: Hvordan taktikken fungerer

Kernen i SuperCard X er en sofistikeret NFC-relæteknik. Sådan fungerer det:

• Ofre bliver bedt om at holde deres kredit- eller betalingskort tæt på deres inficerede telefon.
• Reader-appen på offerets telefon fanger de NFC-transmitterede kortdata.
• Disse oplysninger sendes via HTTP til en Tapper-app på angriberens enhed.
• Tapper-appen emulerer de stjålne kortdata, hvilket giver angribere mulighed for at udføre uautoriserede PoS- eller ATM-transaktioner.

For at forbinde enhederne bliver ofre bedt om at indtaste login-legitimationsoplysninger under opkaldet – legitimationsoplysninger, der forbinder den inficerede enhed (Reader) med angriberens Tapper-instans.

Tilpasning, kommunikation og kontrol

SuperCard X er modulopbygget og kan tilpasses, med variationer i login-grænsefladen, der tyder på, at forskellige kriminelle datterselskaber skræddersy det til deres specifikke kampagner. Den anvender også gensidig TLS (mTLS) til krypteret kommunikation midt i malwaren og dens Command-and-Control (C2) infrastruktur.

For at kunne fungere skal cyberkriminelle først registrere en konto på SuperCard X-platformen, hvilket gør dem i stand til at generere tilpassede malware builds og administrere NFC-datarelæer problemfrit.

Forbliv sikker: Hvad brugere bør vide

På trods af den avancerede taktik er der måder at forblive beskyttet på:

• Undgå at installere apps fra ukendte kilder eller links sendt via SMS/WhatsApp.
• Undersøg apptilladelser, anmeldelser og beskrivelser før download.
• Hold Google Play Protect aktiveret for at scanne og blokere mistænkelige apps.
• Pas på akutte beskeder, der beder dig om at ringe til et nummer eller give følsomme data.

Google er angiveligt ved at udvikle nye Android-funktioner til at blokere app-installationer fra ubekræftede kilder og begrænse tilgængelighedstilladelser, med det formål at afskære denne malwares distributionsmetode ved kilden.

Det større billede

SuperCard X er ikke bare endnu en malware – det repræsenterer en truende udvikling inden for finansiel cyberkriminalitet. Udnyttelse af kontaktløs kortteknologi introducerer en skalerbar metode for angribere til at omgå fysisk kortsikkerhed. Efterhånden som den udvides, udgør den en alvorlig trussel ikke kun for bankinstitutioner, men også for betalingsudbydere og kortudstedere verden over.