SuperCard X Mobile Malware

En tidligere ukjent Android Malware-as-a-Service (MaaS)-plattform kalt SuperCard X skaper bølger i nettkriminalitetsverdenen. Det gir angripere mulighet til å utføre nærfeltkommunikasjon (NFC) reléangrep, noe som muliggjør svindeltransaksjoner og minibankuttak. Målrettet mot bankkunder i Italia, antas denne skadelige programvaren å bli promotert gjennom Telegram-kanaler, og utvide rekkevidden gjennom underjordiske nettkriminelle nettverk.

The Deceptive Entry Point: Social Engineering på sitt verste

SuperCard X bruker en flertrinns angrepskjede, som starter med klassisk sosial ingeniør-taktikk. Ofre lokkes gjennom smishing-kampanjer eller falske WhatsApp-meldinger som utgir seg for å være banker, som advarer brukere om mistenkelig aktivitet og ber dem om å ringe et telefonnummer.

Når kontakten er opprettet, eskalerer taktikken til en telefonorientert angrepslevering (TOAD). Under disse samtalene overbeviser angripere ofrene om å installere det som ser ut til å være sikkerhetsprogramvare. Appene som brukes i dette trikset inkluderer:

• Verifica Carta (io.dxpay.remotenfc.supercard11)
• SuperCard X (io.dxpay.remotenfc.supercard)
• KingCard NFC (io.dxpay.remotenfc.supercard)

Ofre blir også manipulert til å avsløre PIN-koder og fjerne transaksjonsgrenser, noe som legger grunnlaget for økonomisk tyveri i stor skala.

Stafettmekanismen: Hvordan taktikken fungerer

Kjernen i SuperCard X er en sofistikert NFC-reléteknikk. Slik fungerer det:

• Ofre blir bedt om å holde kreditt- eller debetkortet nær den infiserte telefonen.
• Reader-appen på offerets telefon fanger opp NFC-overførte kortdata.
• Denne informasjonen sendes via HTTP til en Tapper-app på angriperens enhet.
• Tapper-appen emulerer de stjålne kortdataene, og lar angripere utføre uautoriserte PoS- eller minibanktransaksjoner.

For å koble enhetene blir ofre bedt om å skrive inn påloggingsinformasjon under samtalen – legitimasjon som kobler den infiserte enheten (Reader) med angriperens Tapper-instans.

Tilpasning, kommunikasjon og kontroll

SuperCard X er modulbasert og kan tilpasses, med variasjoner i påloggingsgrensesnittet som antyder at forskjellige kriminelle tilknyttede selskaper skreddersyr det til deres spesifikke kampanjer. Den bruker også gjensidig TLS (mTLS) for kryptert kommunikasjon blant skadelig programvare og dens Command-and-Control (C2)-infrastruktur.

For å operere, må nettkriminelle først registrere en konto på SuperCard X-plattformen, slik at de kan generere tilpassede malware-bygg og administrere NFC-datareléer sømløst.

Hold deg trygg: Hva brukere bør vite

Til tross for den avanserte taktikken, er det måter å holde seg beskyttet på:

• Unngå å installere apper fra ukjente kilder eller lenker sendt via SMS/WhatsApp.
• Undersøk apptillatelser, anmeldelser og beskrivelser før du laster ned.
• Hold Google Play Protect aktivert for å skanne og blokkere mistenkelige apper.
• Vær oppmerksom på hastemeldinger som ber deg ringe et nummer eller oppgi sensitive data.

Google utvikler etter sigende nye Android-funksjoner for å blokkere appinstallasjoner fra ubekreftede kilder og begrense tilgjengelighetstillatelser, med sikte på å kutte av denne skadelige programvarens distribusjonsmetode ved kilden.

Det større bildet

SuperCard X er ikke bare en annen skadelig programvare – det representerer en truende utvikling innen finansiell nettkriminalitet. Å utnytte kontaktløs kortteknologi introduserer en skalerbar metode for angripere for å omgå fysisk kortsikkerhet. Ettersom den utvides, utgjør den en alvorlig trussel ikke bare for bankinstitusjoner, men også for betalingsleverandører og kortutstedere over hele verden.