SuperCard X 모바일 악성코드

이전에 알려지지 않았던 안드로이드 MaaS(Malware-as-a-Service) 플랫폼인 SuperCard X가 사이버 범죄 세계에 파장을 일으키고 있습니다. 이 플랫폼은 공격자들이 근거리 무선 통신(NFC) 릴레이 공격을 감행하여 부정 거래 및 ATM 인출을 가능하게 합니다. 이탈리아 은행 고객을 표적으로 삼는 이 악성코드는 텔레그램 채널을 통해 유포되어 지하 사이버 범죄 네트워크를 통해 활동 영역을 확대하는 것으로 추정됩니다.

기만적인 진입점: 최악의 사회 공학

SuperCard X는 고전적인 소셜 엔지니어링 전술을 시작으로 다단계 공격 체인을 사용합니다. 피해자는 스미싱 캠페인이나 은행을 사칭하는 가짜 WhatsApp 메시지를 통해 유인되어, 사용자에게 의심스러운 활동에 대한 경고를 보내고 특정 전화번호로 전화를 걸도록 유도합니다.

접촉이 이루어지면, 이 전술은 전화 지향 공격(TOAD)으로 확대됩니다. 이 전화 통화 중에 공격자는 피해자에게 보안 소프트웨어로 추정되는 것을 설치하도록 유도합니다. 이 수법에 사용되는 앱은 다음과 같습니다.

• 검증 카르타(io.dxpay.remotenfc.supercard11)
• 슈퍼카드 X(io.dxpay.remotenfc.supercard)
• 킹카드 NFC(io.dxpay.remotenfc.supercard)

피해자들은 또한 PIN 코드를 공개하고 거래 한도를 없애도록 조종당해 대규모 금융 도난의 여지를 마련합니다.

릴레이 메커니즘: 전술 작동 방식

SuperCard X의 핵심은 정교한 NFC 릴레이 기술입니다. 작동 원리는 다음과 같습니다.

• 피해자는 감염된 휴대전화 가까이에 신용카드나 직불카드를 놓아두라는 요청을 받습니다.
• 피해자의 휴대폰에 설치된 Reader 앱은 NFC로 전송된 카드 데이터를 캡처합니다.
• 이 정보는 HTTP를 통해 공격자 기기의 Tapper 앱으로 전송됩니다.
• Tapper 앱은 도난당한 카드 데이터를 에뮬레이트하여 공격자가 승인되지 않은 PoS 또는 ATM 거래를 수행할 수 있도록 합니다.

장치를 연결하기 위해 피해자는 통화 중에 로그인 자격 증명을 입력하라는 지시를 받습니다. 이 자격 증명은 감염된 장치(Reader)를 공격자의 Tapper 인스턴스와 연결하는 자격 증명입니다.

맞춤화, 커뮤니케이션 및 제어

SuperCard X는 모듈식이고 사용자 정의가 가능하며, 로그인 인터페이스의 다양한 변형을 보면 각 범죄 조직이 각자의 캠페인에 맞게 이를 조정하는 것으로 보입니다. 또한 맬웨어와 명령 및 제어(C2) 인프라 간의 암호화된 통신을 위해 상호 TLS(mTLS)를 사용합니다.

사이버 범죄자는 이를 실행하기 위해 먼저 SuperCard X 플랫폼에 계정을 등록해야 하며, 이를 통해 맞춤형 맬웨어 빌드를 생성하고 NFC 데이터 릴레이를 원활하게 관리할 수 있습니다.

안전 유지: 사용자가 알아야 할 사항

진보된 전술에도 불구하고 보호를 유지할 수 있는 방법은 있습니다.

• 알 수 없는 출처의 앱이나 SMS/WhatsApp을 통해 전송된 링크는 설치하지 마세요.
• 다운로드하기 전에 앱 권한, 리뷰, 설명을 자세히 살펴보세요.
• 의심스러운 앱을 검사하고 차단하려면 Google Play Protect를 활성화해 두세요.
• 전화번호로 전화를 걸거나 민감한 데이터를 제공하도록 요청하는 긴급 메시지에 주의하세요.

구글은 검증되지 않은 출처의 앱 설치를 차단하고 접근성 권한을 제한하는 새로운 안드로이드 기능을 개발 중이라고 합니다. 이를 통해 이 맬웨어의 배포 방식을 출처에서 차단하는 것이 목표입니다.

더 큰 그림

SuperCard X는 단순한 악성코드가 아닙니다. 금융 사이버 범죄의 위협적인 진화를 상징합니다. 비접촉식 카드 기술을 활용함으로써 공격자는 물리적 카드 보안을 우회할 수 있는 확장 가능한 수단을 확보하게 됩니다. SuperCard X는 확장됨에 따라 은행 기관뿐만 아니라 전 세계 결제 서비스 제공업체와 카드 발급사에게도 심각한 위협이 됩니다.