SuperCard X Mobile Malware

Uma plataforma de Malware como Serviço (MaaS) para Android até então desconhecida, chamada SuperCard X, está causando impacto no mundo do crime cibernético. Ela permite que invasores realizem ataques de retransmissão de comunicação por campo próximo (NFC), permitindo transações fraudulentas e saques em caixas eletrônicos. Visando clientes bancários na Itália, acredita-se que esse malware seja promovido por meio de canais do Telegram, expandindo seu alcance por meio de redes clandestinas de cibercriminosos.

O Ponto de Entrada Enganoso: A Engenharia Social no Seu Pior

O SuperCard X emprega uma cadeia de ataque em várias etapas, começando com táticas clássicas de engenharia social. As vítimas são atraídas por meio de campanhas de smishing ou mensagens falsas de WhatsApp que se passam por bancos, alertando os usuários sobre atividades suspeitas e incentivando-os a ligar para um número de telefone.

Uma vez estabelecido o contato, a tática evolui para um Ataque Orientado por Telefone (TOAD). Durante essas ligações, os invasores convencem as vítimas a instalar o que parece ser um software de segurança. Os aplicativos usados nessa tática incluem:

• Verifica Carta (io.dxpay.remotenfc.supercard11)
• SuperCard X (io.dxpay.remotenfc.supercard)
• KingCard NFC (io.dxpay.remotenfc.supercard)

As vítimas também são manipuladas para revelar códigos PIN e remover limites de transações, preparando o cenário para roubos financeiros em larga escala.

O Mecanismo de Retransmissão: Como a Tática Funciona

No centro do SuperCard X está uma sofisticada técnica de retransmissão NFC. Veja como funciona:

• As vítimas são solicitadas a aproximar seus cartões de crédito ou débito do telefone infectado.
• O aplicativo Reader no telefone da vítima captura os dados do cartão transmitidos por NFC.
• Essas informações são enviadas via HTTP para um aplicativo Tapper no dispositivo do invasor.
• O aplicativo Tapper emula os dados do cartão roubado, permitindo que invasores realizem transações não autorizadas em PoS ou caixas eletrônicos.

Para vincular os dispositivos, as vítimas são instruídas a inserir credenciais de login durante a chamada — credenciais que conectam o dispositivo infectado (Reader) à instância do Tapper do invasor.

Personalização, Comunicação e Controle

O SuperCard X é modular e personalizável, com variações na interface de login que sugerem que diferentes criminosos afiliados o personalizem para suas campanhas específicas. Ele também utiliza TLS mútuo (mTLS) para comunicação criptografada entre o malware e sua infraestrutura de Comando e Controle (C2).

Para operar, os criminosos cibernéticos devem primeiro registrar uma conta na plataforma SuperCard X, o que lhes permite gerar compilações personalizadas de malware e gerenciar retransmissões de dados NFC sem problemas.

Mantendo-se Seguro: O Que os Usuários Devem Saber

Apesar das táticas avançadas, existem maneiras de se manter protegido:

• Evite instalar aplicativos de fontes desconhecidas ou links enviados via SMS/WhatsApp.
• Analise as permissões, avaliações e descrições do aplicativo antes de fazer o download.
• Mantenha o Google Play Protect ativado para verificar e bloquear aplicativos suspeitos.
• Cuidado com mensagens urgentes que solicitam que você ligue para um número ou forneça dados confidenciais.

O Google está supostamente desenvolvendo novos recursos para Android para bloquear instalações de aplicativos de fontes não verificadas e restringir permissões de acessibilidade, com o objetivo de cortar o método de distribuição desse malware na fonte.

O Panorama Geral

O SuperCard X não é apenas mais um malware — ele representa uma evolução ameaçadora no cibercrime financeiro. O uso da tecnologia de cartões sem contato introduz um método escalável para invasores contornarem a segurança do cartão físico. À medida que se expande, representa uma séria ameaça não apenas às instituições bancárias, mas também aos provedores de pagamento e emissores de cartões em todo o mundo.