بدافزار SuperCard X Mobile

پلتفرم Android Malware-as-a-Service (MaaS) که قبلاً ناشناخته بود، به نام SuperCard X در حال ایجاد موج در دنیای جرایم سایبری است. این مهاجمان را قادر می‌سازد تا حملات رله ارتباطی میدان نزدیک (NFC) را انجام دهند و تراکنش‌های جعلی و برداشت‌های خودپرداز را ممکن می‌سازد. این بدافزار با هدف قرار دادن مشتریان بانکی در ایتالیا، گمان می‌رود که از طریق کانال‌های تلگرامی تبلیغ می‌شود و دسترسی خود را از طریق شبکه‌های مجرم سایبری زیرزمینی گسترش می‌دهد.

نقطه ورود فریبنده: مهندسی اجتماعی در بدترین حالت خود

SuperCard X از زنجیره حمله چند مرحله ای استفاده می کند که با تاکتیک های کلاسیک مهندسی اجتماعی شروع می شود. قربانیان از طریق کمپین‌های ضربتی یا پیام‌های جعلی واتس‌اپ که جعل هویت بانک‌ها هستند و به کاربران در مورد فعالیت‌های مشکوک هشدار می‌دهند و آنها را وادار به تماس با شماره تلفن می‌کنند فریب می‌دهند.

هنگامی که تماس برقرار می شود، تاکتیک به یک تحویل حمله تلفنی (TOAD) تبدیل می شود. در طول این تماس‌ها، مهاجمان قربانیان را متقاعد می‌کنند تا نرم‌افزار امنیتی را نصب کنند. برنامه های مورد استفاده در این ترفند عبارتند از:

• Verifica Carta (io.dxpay.remotenfc.supercard11)
• SuperCard X (io.dxpay.remotenfc.supercard)
• KingCard NFC (io.dxpay.remotenfc.supercard)

قربانیان همچنین برای افشای کدهای پین و حذف محدودیت های تراکنش دستکاری می شوند و زمینه را برای سرقت های مالی در مقیاس بزرگ فراهم می کنند.

مکانیسم رله: تاکتیک چگونه کار می کند

در هسته SuperCard X یک تکنیک رله NFC پیچیده است. در اینجا نحوه کار آن آمده است:

• از قربانیان خواسته می شود که کارت اعتباری یا نقدی خود را نزدیک تلفن آلوده خود نگه دارند.
• برنامه Reader در تلفن قربانی داده های کارت ارسال شده توسط NFC را ضبط می کند.
• این اطلاعات از طریق HTTP به برنامه Tapper در دستگاه مهاجم ارسال می شود.
• اپلیکیشن Tapper داده‌های کارت سرقت شده را شبیه‌سازی می‌کند و به مهاجمان اجازه می‌دهد تراکنش‌های غیرمجاز PoS یا ATM را انجام دهند.

برای پیوند دادن دستگاه‌ها، به قربانیان دستور داده می‌شود که اعتبار ورود به سیستم را در طول تماس وارد کنند - اعتباری که دستگاه آلوده (Reader) را به نمونه Tapper مهاجم متصل می‌کند.

سفارشی سازی، ارتباط و کنترل

SuperCard X ماژولار و قابل تنظیم است، با تغییراتی در رابط ورود به سیستم نشان می دهد که وابسته های مختلف جنایی آن را برای کمپین های خاص خود تنظیم می کنند. همچنین از TLS متقابل (mTLS) برای ارتباطات رمزگذاری شده در میان بدافزار و زیرساخت Command-and-Control (C2) آن استفاده می کند.

برای فعالیت، مجرمان سایبری ابتدا باید یک حساب کاربری در پلتفرم SuperCard X ثبت کنند تا آنها را قادر سازد تا بدافزارهای سفارشی تولید کرده و رله های داده NFC را به طور یکپارچه مدیریت کنند.

ایمن ماندن: آنچه کاربران باید بدانند

با وجود تاکتیک‌های پیشرفته، راه‌هایی برای محافظت از آنها وجود دارد:

• از نصب برنامه ها از منابع ناشناخته یا پیوندهای ارسال شده از طریق پیامک/واتس اپ خودداری کنید.
• قبل از دانلود، مجوزها، نظرات و توضیحات برنامه را بررسی کنید.
• Google Play Protect را برای اسکن و مسدود کردن برنامه‌های مشکوک فعال نگه دارید.
• مراقب پیام‌های فوری باشید که از شما خواسته می‌شود با شماره‌ای تماس بگیرید یا داده‌های حساسی را ارائه دهید.

گویا گوگل در حال توسعه ویژگی‌های جدید اندروید برای مسدود کردن نصب برنامه از منابع تایید نشده و محدود کردن مجوزهای دسترسی است و هدف آن قطع روش توزیع این بدافزار در منبع است.

تصویر بزرگتر

SuperCard X فقط یک بدافزار دیگر نیست، بلکه نشان دهنده یک تحول تهدیدآمیز در جرایم سایبری مالی است. استفاده از فناوری کارت بدون تماس، روشی مقیاس‌پذیر را برای مهاجمان معرفی می‌کند تا امنیت فیزیکی کارت را دور بزنند. با گسترش آن، نه تنها برای مؤسسات بانکی، بلکه برای ارائه دهندگان پرداخت و صادرکنندگان کارت در سراسر جهان نیز تهدیدی جدی است.