SuperCard X mobiele malware
Een tot nu toe onbekend Android Malware-as-a-Service (MaaS)-platform, genaamd SuperCard X, maakt furore in de wereld van cybercriminaliteit. Het stelt aanvallers in staat om Near Field Communication (NFC) relay-aanvallen uit te voeren, wat frauduleuze transacties en geldopnames bij geldautomaten mogelijk maakt. Deze malware, die zich richt op Italiaanse bankklanten, zou via Telegram-kanalen worden verspreid en zijn bereik uitbreiden via ondergrondse cybercriminele netwerken.
Inhoudsopgave
Het misleidende instappunt: social engineering op zijn ergst
De SuperCard X maakt gebruik van een meerfasige aanvalsketen, beginnend met klassieke social engineering-tactieken. Slachtoffers worden gelokt via smishingcampagnes of nep-WhatsApp-berichten die zich voordoen als banken, waarbij gebruikers worden gewaarschuwd voor verdachte activiteiten en worden aangespoord om een telefoonnummer te bellen.
Zodra er contact is gemaakt, escaleert de tactiek tot een telefonische aanval (TOAD). Tijdens deze gesprekken overtuigen aanvallers slachtoffers om wat lijkt op beveiligingssoftware te installeren. De apps die hierbij worden gebruikt, zijn onder andere:
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Slachtoffers worden ook gemanipuleerd om pincodes te verstrekken en transactielimieten te schrappen, wat de basis legt voor grootschalige financiële diefstal.
Het relaismechanisme: hoe de tactiek werkt
De kern van de SuperCard X is een geavanceerde NFC-relaytechniek. Zo werkt het:
- Slachtoffers wordt gevraagd hun creditcard of betaalpas dicht bij hun geïnfecteerde telefoon te houden.
- De Reader-app op de telefoon van het slachtoffer legt de via NFC verzonden kaartgegevens vast.
- Deze informatie wordt via HTTP verzonden naar een Tapper-app op het apparaat van de aanvaller.
- De Tapper-app emuleert de gestolen kaartgegevens, waardoor aanvallers ongeautoriseerde PoS- of geldautomaattransacties kunnen uitvoeren.
Om de apparaten te koppelen, moeten slachtoffers tijdens het gesprek hun inloggegevens invoeren. Deze gegevens worden gebruikt om het geïnfecteerde apparaat (Reader) te verbinden met de Tapper-instantie van de aanvaller.
Maatwerk, communicatie en controle
De SuperCard X is modulair en aanpasbaar, met variaties in de inloginterface die suggereren dat verschillende criminele partners de interface kunnen aanpassen aan hun specifieke campagnes. De SuperCard X maakt ook gebruik van Mutual TLS (mTLS) voor versleutelde communicatie tussen de malware en de Command-and-Control (C2)-infrastructuur.
Om te kunnen opereren, moeten cybercriminelen eerst een account registreren op het SuperCard X-platform. Hiermee kunnen ze aangepaste malware-builds genereren en NFC-datarelais naadloos beheren.
Veilig blijven: wat gebruikers moeten weten
Ondanks de geavanceerde tactieken zijn er manieren om beschermd te blijven:
- Installeer geen apps van onbekende bronnen of links die via sms/WhatsApp worden verzonden.
- Controleer de app-machtigingen, beoordelingen en beschrijvingen zorgvuldig voordat u de app downloadt.
- Houd Google Play Protect ingeschakeld om verdachte apps te scannen en blokkeren.
- Wees op uw hoede voor dringende berichten waarin u wordt gevraagd een nummer te bellen of vertrouwelijke gegevens te verstrekken.
Volgens berichten ontwikkelt Google nieuwe Android-functies om app-installaties van niet-geverifieerde bronnen te blokkeren en de toegankelijkheidsrechten te beperken. Op deze manier wil het bedrijf de verspreiding van deze malware bij de bron aanpakken.
Het grotere plaatje
SuperCard X is niet zomaar malware – het vertegenwoordigt een dreigende evolutie in financiële cybercriminaliteit. Door gebruik te maken van contactloze kaarttechnologie, introduceert het een schaalbare methode waarmee aanvallers de fysieke beveiliging van kaarten kunnen omzeilen. Naarmate de technologie zich uitbreidt, vormt het een ernstige bedreiging, niet alleen voor bankinstellingen, maar ook voor betalingsaanbieders en kaartuitgevers wereldwijd.
