SuperCard X Mobile Malware
Nieznana wcześniej platforma Android Malware-as-a-Service (MaaS) o nazwie SuperCard X wywołuje poruszenie w świecie cyberprzestępczości. Umożliwia atakującym przeprowadzanie ataków przekaźnikowych Near Field Communication (NFC), umożliwiając oszukańcze transakcje i wypłaty z bankomatów. Uważa się, że to złośliwe oprogramowanie, skierowane do klientów bankowych we Włoszech, jest promowane za pośrednictwem kanałów Telegram, rozszerzając swój zasięg za pośrednictwem podziemnych sieci cyberprzestępczych.
Spis treści
Mylący punkt wejścia: inżynieria społeczna w najgorszym wydaniu
SuperCard X wykorzystuje wieloetapowy łańcuch ataków, zaczynając od klasycznych taktyk inżynierii społecznej. Ofiary są wabione za pomocą kampanii smishingowych lub fałszywych wiadomości WhatsApp, które podszywają się pod banki, ostrzegając użytkowników o podejrzanej aktywności i nakłaniając ich do zadzwonienia pod numer telefonu.
Po nawiązaniu kontaktu taktyka eskaluje do Telephone-Oriented Attack Delivery (TOAD). Podczas tych połączeń atakujący przekonują ofiary do zainstalowania czegoś, co wydaje się być oprogramowaniem zabezpieczającym. Aplikacje używane w tym podstępie obejmują:
- Weryfikacja karty (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- Karta KingCard NFC (io.dxpay.remotenfc.supercard)
Ofiary są również nakłaniane do ujawniania kodów PIN i usuwania limitów transakcji, co stwarza podwaliny do kradzieży finansowych na dużą skalę.
Mechanizm przekaźnikowy: jak działa taktyka
Sercem SuperCard X jest zaawansowana technika przekazywania NFC. Oto jak to działa:
- Ofiary proszone są o zbliżenie karty kredytowej lub debetowej do zainfekowanego telefonu.
- Aplikacja Reader na telefonie ofiary przechwytuje dane karty przesyłane za pomocą funkcji NFC.
- Informacje te są wysyłane przez protokół HTTP do aplikacji Tapper na urządzeniu atakującego.
- Aplikacja Tapper emuluje dane skradzionych kart, umożliwiając atakującym przeprowadzanie nieautoryzowanych transakcji w punktach sprzedaży lub bankomatach.
Aby połączyć urządzenia, ofiary są proszone o podanie podczas połączenia danych logowania — danych łączących zainfekowane urządzenie (Reader) z instancją Tapper atakującego.
Personalizacja, komunikacja i kontrola
SuperCard X jest modułowy i konfigurowalny, a różnice w interfejsie logowania sugerują, że różni przestępcy dostosowują go do swoich konkretnych kampanii. Używa również wzajemnego TLS (mTLS) do szyfrowanej komunikacji pomiędzy złośliwym oprogramowaniem a infrastrukturą Command-and-Control (C2).
Aby móc działać, cyberprzestępcy muszą najpierw założyć konto na platformie SuperCard X, co umożliwi im generowanie własnych wersji złośliwego oprogramowania i płynne zarządzanie przekazywaniem danych NFC.
Zachowanie bezpieczeństwa: co użytkownicy powinni wiedzieć
Pomimo zaawansowanych taktyk, istnieją sposoby na zachowanie ochrony:
- Unikaj instalowania aplikacji z nieznanych źródeł lub linków wysyłanych za pośrednictwem wiadomości SMS/WhatsApp.
- Przed pobraniem aplikacji sprawdź jej uprawnienia, recenzje i opisy.
- Włącz funkcję Google Play Protect, aby skanować i blokować podejrzane aplikacje.
- Uważaj na pilne wiadomości, które namawiają Cię do zadzwonienia pod jakiś numer lub podania poufnych danych.
Według doniesień firma Google opracowuje nowe funkcje systemu Android, które będą blokować instalację aplikacji z niezweryfikowanych źródeł i ograniczać uprawnienia dostępu. Celem jest uniemożliwienie rozprzestrzeniania się tego złośliwego oprogramowania u źródła.
Szerszy obraz
SuperCard X to nie tylko kolejny malware — to groźna ewolucja w cyberprzestępczości finansowej. Wykorzystanie technologii kart zbliżeniowych wprowadza skalowalną metodę omijania fizycznych zabezpieczeń kart przez atakujących. W miarę rozwoju stanowi poważne zagrożenie nie tylko dla instytucji bankowych, ale także dla dostawców płatności i wystawców kart na całym świecie.
