Вредоносное ПО для мобильных устройств SuperCard X
Ранее неизвестная платформа Android Malware-as-a-Service (MaaS) под названием SuperCard X производит фурор в мире киберпреступности. Она позволяет злоумышленникам проводить атаки с использованием ретрансляторов ближнего действия (NFC), позволяя проводить мошеннические транзакции и снимать деньги с банкоматов. Предполагается, что эта вредоносная программа, нацеленная на банковских клиентов в Италии, продвигается через каналы Telegram, расширяя свое влияние через подпольные сети киберпреступников.
Оглавление
Обманчивая точка входа: социальная инженерия в худшем проявлении
SuperCard X использует многоступенчатую цепочку атак, начиная с классических тактик социальной инженерии. Жертвы заманиваются через кампании smishing или поддельные сообщения WhatsApp, которые выдают себя за банки, предупреждая пользователей о подозрительной активности и побуждая их позвонить по номеру телефона.
После установления контакта тактика перерастает в телефонную атаку с ориентацией на доставку (TOAD). Во время этих звонков злоумышленники убеждают жертв установить то, что выглядит как программное обеспечение безопасности. Приложения, используемые в этой уловке, включают:
- Verifica Carta (io.dxpay.remotenfc.supercard11)
- SuperCard X (io.dxpay.remotenfc.supercard)
- KingCard NFC (io.dxpay.remotenfc.supercard)
Жертв также манипулируют, заставляя их раскрывать PIN-коды и снимать лимиты на транзакции, что создает условия для крупномасштабных финансовых краж.
Механизм ретрансляции: как работает тактика
В основе SuperCard X лежит сложная технология ретрансляции NFC. Вот как это работает:
- Жертв просят поднести кредитную или дебетовую карту к зараженному телефону.
- Приложение Reader на телефоне жертвы фиксирует данные карты, передаваемые по NFC.
- Эта информация отправляется по протоколу HTTP в приложение Tapper на устройстве злоумышленника.
- Приложение Tapper эмулирует данные украденной карты, позволяя злоумышленникам проводить несанкционированные транзакции через PoS или банкоматы.
Чтобы связать устройства, жертвам предлагается ввести учетные данные во время звонка — учетные данные, которые соединяют зараженное устройство (Reader) с экземпляром Tapper злоумышленника.
Настройка, коммуникация и контроль
SuperCard X является модульным и настраиваемым, с вариациями в интерфейсе входа, что предполагает, что различные криминальные филиалы адаптируют его к своим конкретным кампаниям. Он также использует взаимный TLS (mTLS) для зашифрованной связи между вредоносным ПО и его инфраструктурой Command-and-Control (C2).
Для осуществления своей деятельности киберпреступникам необходимо сначала зарегистрировать учетную запись на платформе SuperCard X, что позволит им создавать собственные сборки вредоносного ПО и беспрепятственно управлять ретрансляторами данных NFC.
Обеспечение безопасности: что следует знать пользователям
Несмотря на передовую тактику, есть способы оставаться в безопасности:
- Избегайте установки приложений из неизвестных источников или ссылок, отправленных по SMS/WhatsApp.
- Перед загрузкой внимательно изучите разрешения, отзывы и описания приложения.
- Оставьте Google Play Protect включенным для сканирования и блокировки подозрительных приложений.
- Остерегайтесь срочных сообщений, предлагающих вам позвонить по номеру или предоставить конфиденциальные данные.
Сообщается, что Google разрабатывает новые функции Android, которые будут блокировать установку приложений из непроверенных источников и ограничивать разрешения на доступ, стремясь пресечь метод распространения этого вредоносного ПО у источника.
Общая картина
SuperCard X — это не просто еще одно вредоносное ПО, это угрожающая эволюция в финансовой киберпреступности. Использование технологии бесконтактных карт представляет собой масштабируемый метод для злоумышленников, чтобы обойти физическую безопасность карты. По мере своего расширения он представляет серьезную угрозу не только для банковских учреждений, но и для поставщиков платежных услуг и эмитентов карт по всему миру.
