SuperCard X Mobile -haittaohjelma
Aiemmin tuntematon Android Malware-as-a-Service (MaaS) -alusta nimeltä SuperCard X tekee aaltoja kyberrikollisuuden maailmassa. Se antaa hyökkääjille mahdollisuuden suorittaa NFC-välityshyökkäyksiä, mikä mahdollistaa vilpilliset tapahtumat ja pankkiautomaattien nostot. Tämän italialaisten pankkiasiakkaiden kohteena olevan haittaohjelman uskotaan mainostavan Telegram-kanavien kautta, mikä laajentaa sen kattavuutta maanalaisten kyberrikollisverkkojen kautta.
Sisällysluettelo
Petollinen aloituskohta: sosiaalinen suunnittelu pahimmillaan
SuperCard X käyttää monivaiheista hyökkäysketjua alkaen klassisista sosiaalisen manipuloinnin taktiikoista. Uhreja houkutellaan huijareilla kampanjoilla tai väärennetyillä WhatsApp-viesteillä, joissa esiintyy pankkeja, varoittamalla käyttäjiä epäilyttävästä toiminnasta ja kehottamalla heitä soittamaan puhelinnumeroon.
Kun kontakti on saatu, taktiikka laajenee puhelinsuuntautuneeksi hyökkäykseksi (TOAD). Näiden puhelujen aikana hyökkääjät vakuuttavat uhrit asentamaan tietoturvaohjelmiston. Tässä temppussa käytettyjä sovelluksia ovat:
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Uhreja manipuloidaan myös paljastamaan PIN-koodeja ja poistamaan tapahtumarajoja, mikä luo pohjan laajalle talousvarkaudelle.
Välitysmekanismi: Kuinka taktiikka toimii
SuperCard X:n ytimenä on kehittynyt NFC-välitystekniikka. Näin se toimii:
- Uhreja pyydetään pitämään luotto- tai maksukorttiaan tartunnan saaneen puhelimen lähellä.
- Uhrin puhelimen Reader-sovellus tallentaa NFC-lähetetyt korttitiedot.
- Nämä tiedot lähetetään HTTP:n kautta hyökkääjän laitteen Tapper-sovellukseen.
- Tapper-sovellus emuloi varastettuja korttitietoja, jolloin hyökkääjät voivat suorittaa luvattomia PoS- tai ATM-tapahtumia.
Laitteiden linkittämistä varten uhreja kehotetaan antamaan kirjautumistiedot puhelun aikana – tunnistetiedot, jotka yhdistävät tartunnan saaneen laitteen (Reader) hyökkääjän Tapper-instanssiin.
Räätälöinti, viestintä ja ohjaus
SuperCard X on modulaarinen ja muokattavissa, ja kirjautumisliittymän vaihtelut viittaavat siihen, että eri rikollisten tytäryhtiöt räätälöivät sen tiettyihin kampanjoihinsa. Se käyttää myös keskinäistä TLS:ää (mTLS) salattua viestintää haittaohjelmien ja sen Command-and-Control (C2) -infrastruktuurin keskellä.
Toimiakseen kyberrikollisten on ensin rekisteröitävä tili SuperCard X -alustalle, jotta he voivat luoda räätälöityjä haittaohjelmia ja hallita NFC-tiedonvälityksiä saumattomasti.
Turvassa pysyminen: mitä käyttäjien tulee tietää
Edistyneistä taktiikoista huolimatta on olemassa tapoja pysyä suojattuna:
- Vältä sovellusten asentamista tuntemattomista lähteistä tai tekstiviestillä/WhatsAppilla lähetetyistä linkeistä.
- Tarkista sovellusten käyttöoikeudet, arvostelut ja kuvaukset ennen lataamista.
- Pidä Google Play Protect päällä, jotta voit tarkistaa ja estää epäilyttävät sovellukset.
- Varo kiireellisiä viestejä, jotka kehottavat sinua soittamaan numeroon tai antamaan arkaluonteisia tietoja.
Googlen kerrotaan kehittävän uusia Android-ominaisuuksia, jotka estävät sovellusten asennukset vahvistamattomista lähteistä ja rajoittavat esteettömyysoikeuksia. Tavoitteena on katkaista tämän haittaohjelman levitysmenetelmä lähteellä.
Isompi kuva
SuperCard X ei ole vain yksi haittaohjelma – se edustaa uhkaavaa kehitystä talousrikollisuuden alalla. Kontaktittoman korttitekniikan hyödyntäminen tuo skaalautuvan menetelmän hyökkääjille ohittaa fyysisen kortin suojauksen. Laajentuessaan se muodostaa vakavan uhan pankkien lisäksi myös maksupalveluntarjoajille ja korttien myöntäjille maailmanlaajuisesti.
