SuperCard X Mobile Malware

Prethodno nepoznata platforma Android Malware-as-a-Service (MaaS) nazvana SuperCard X pravi valove u svijetu kibernetičkog kriminala. Omogućuje napadačima da izvrše napade releja komunikacije blizu polja (NFC), omogućujući lažne transakcije i podizanja s bankomata. Ciljajući na bankarske klijente u Italiji, vjeruje se da se ovaj zlonamjerni softver promovira putem Telegram kanala, šireći svoj doseg kroz podzemne mreže kibernetičkog kriminala.

Varljiva ulazna točka: društveni inženjering u svom najgorem obliku

SuperCard X koristi višefazni lanac napada, počevši od klasične taktike društvenog inženjeringa. Žrtve su namamljene lažnim kampanjama ili lažnim WhatsApp porukama koje se lažno predstavljaju kao banke, upozoravajući korisnike na sumnjive aktivnosti i potičući ih da nazovu telefonski broj.

Nakon što se uspostavi kontakt, taktika eskalira u telefonski orijentiran napad (TOAD). Tijekom tih poziva napadači uvjeravaju žrtve da instaliraju ono što se čini kao sigurnosni softver. Aplikacije korištene u ovoj smicalici uključuju:

• Verifica Carta (io.dxpay.remotenfc.supercard11)
• SuperCard X (io.dxpay.remotenfc.supercard)
• KingCard NFC (io.dxpay.remotenfc.supercard)

Žrtve se također manipuliraju tako da otkriju PIN kodove i uklone ograničenja transakcija, čime se priprema teren za financijsku krađu velikih razmjera.

Relejni mehanizam: kako taktika funkcionira

U središtu SuperCard X je sofisticirana tehnika NFC releja. Evo kako to funkcionira:

• Od žrtava se traži da svoju kreditnu ili debitnu karticu drže blizu svog zaraženog telefona.
• Aplikacija Reader na telefonu žrtve bilježi podatke s kartice koji se prenose NFC-om.
• Ove se informacije šalju putem HTTP-a aplikaciji Tapper na napadačevom uređaju.
• Aplikacija Tapper emulira podatke o ukradenoj kartici, dopuštajući napadačima da izvrše neovlaštene PoS ili ATM transakcije.

Kako bi povezali uređaje, žrtve dobivaju upute da tijekom poziva unesu vjerodajnice za prijavu—vjerodajnice koje povezuju zaraženi uređaj (Reader) s napadačevom Tapper instancom.

Prilagodba, komunikacija i kontrola

SuperCard X je modularan i prilagodljiv, s varijacijama u sučelju za prijavu koje sugeriraju da ga različite kriminalne podružnice prilagođavaju svojim specifičnim kampanjama. Također koristi zajednički TLS (mTLS) za šifriranu komunikaciju usred zlonamjernog softvera i njegove infrastrukture za upravljanje i kontrolu (C2).

Kako bi djelovali, kibernetički kriminalci prvo moraju registrirati račun na platformi SuperCard X, što im omogućuje generiranje prilagođenih verzija zlonamjernog softvera i neprimjetno upravljanje NFC prijenosima podataka.

Ostanite sigurni: Što bi korisnici trebali znati

Unatoč naprednoj taktici, postoje načini da ostanete zaštićeni:

• Izbjegavajte instaliranje aplikacija iz nepoznatih izvora ili poveznica poslanih putem SMS-a/WhatsApp-a.
• Prije preuzimanja pažljivo proučite dopuštenja, recenzije i opise aplikacije.
• Neka Google Play Protect bude uključen za skeniranje i blokiranje sumnjivih aplikacija.
• Čuvajte se hitnih poruka koje od vas traže da nazovete broj ili pružite osjetljive podatke.

Google navodno razvija nove značajke Androida za blokiranje instalacija aplikacija iz neprovjerenih izvora i ograničavanje dopuštenja pristupačnosti, s ciljem da se prekine distribucijska metoda zlonamjernog softvera na izvoru.

Šira slika

SuperCard X nije samo još jedan malware - on predstavlja prijeteću evoluciju financijskog kibernetičkog kriminala. Korištenje tehnologije beskontaktnih kartica uvodi skalabilnu metodu za napadače da zaobiđu sigurnost fizičke kartice. Kako se širi, predstavlja ozbiljnu prijetnju ne samo bankarskim institucijama već i pružateljima usluga plaćanja i izdavateljima kartica diljem svijeta.